【TechOrange 編輯部導讀】
對於企業主、資安主管甚至是一般主管來說,資安的重要性已經越來越高。但無論是全球或台灣,資安人才的「大缺口」短時間內不會獲得改善。怎麼在缺乏專業資安人員的情況之下,強化企業的資安體質、透過內部團隊打造出強健的資安免疫系統?
這個難題,其實是有解答的。若是方法使用得當,甚至還能成為徵才、留才的一大吸力。該怎麼做呢?
2022 年,網路釣魚詐騙、網路攻擊、數據洩露和加密貨幣盜竊數量都創新高。不難想像,2023 年的網路犯罪將再創下新高。近年來資安意識高漲,世界各國的資安團隊都面臨人手不足的問題。根據(ISC)² 2022 年網路安全人力報告研究指出,全球網路資安人員缺口達到 340 萬名。
從台灣企業角度來看,金管會已要求:到 2023 年底前,只要企業有獲利,就必須依法資安長(資安專責主管)以及設置至少一名資安專責人員。但尋找資安人才並沒有想像中容易,Fortinet 共同創始人、董事長兼 CEO 謝青近日在《世界經濟論壇》(World Economic Forum,WEF)撰文指出,隨著全球數位轉型速度加速,全球存在急需解決的資安技能差距問題,他也向企業主提出解決之道。
2023 年的資安趨勢與風險
在提到解決之道之前,我們先來一起看看外部世界是如何變化的,這也是為何企業應當轉變應對資訊安全的看法以及作法。
網路安全公司 Towerwall CEO 在《富比世》(Forbes)一篇投稿當中指出,2023 年將有六大資安趨勢值得關注:包括:
- 更大的隱私和監管壓力
- 零信任取代 VPN
- 威脅檢測和回應工具成為主流
- 對第三方風險管理的需求增加
- 更多組織將外包網路安全
- 網路保險將推動對風險評估的需求
更大的隱私和監管壓力:世界各國政府都對於保護公民的數據隱私問題相當關注。根據市研機構 Gartner 預測,到 2023 年世界上 65% 的人口的私人數據將受到法規的保護,比 2020 年高出 10%。 2022 年 3 月,美國強制要求關鍵基礎設施企業組織必須報告網路攻擊和勒索軟體事件。美國證券交易委員會也提議,公共組織應公開董事會成員的網路安全專業知識並定期報告網路安全實踐。
零信任取代 VPN:而隨著遠端工作已成常見的工作模式,虛擬專用網路 VPN 已無法滿足可擴展性需求,且技術本身容易受到網路和漏洞的攻擊,而零信任便是一種具可擴展性且高度安全的方法。Gartner 認為,零信任網路存取 (ZTNA) 將是成長最快的網路安全形式,2023 年將增長 31%,到 2025 年將完全取代 VPN。
威脅檢測和回應工具成為主流:企業要阻止或減少其影響的唯一方法,就是識別整個用戶、應用程式和基礎架構生態系統中的異常活動。端點偵測與回應(EDR)、延伸偵測及回應(XDR)以及託管式偵測及回應服務(MDR)等工具可以透過人工智慧和機器學習演算法分析歷史數據,以發現異常模式並利用威脅情報和高級文件分析。Gartner 預測,未來幾年,企業對 EDR 和 MDR 等雲端檢測和解決方案的需求將顯著增加。
對第三方風險管理的需求增加:隨著大型企業開始部署複雜的防禦環境,更多網路犯罪轉而鎖定規模較小、資源相對不充足的供應鏈相關企業。Gartner 也預測,到 2025 年,45% 的組織將在其軟體供應鏈上遭受攻擊,這一數字將是 2021 的 3 倍。由於董事會和 CEO 們將要求組織改善供應鏈安全,將有更多針對第三方、供應商網路風險進行分類和監控的工具/服務需求出現。
更多企業將把網路安全外包:由於網路安全越來越複雜,企業大多無法自行管理,再加上市場資安人才的嚴重不足、企業組織內部資安技能的短缺,資安團隊也不堪重負。因此企業可能將日常安全營運外包給經驗豐富的資安公司。
網路保險推動對風險評估的需求:最後,網路保險費正在攀升,企業為了協商保費和風險涵蓋範圍,將開始進行企業風險評估,為的就是要突出其網路安全計畫的成熟度。
對內部員工進行網路安全技能培訓,對企業來說至關重要
面對上述種種問題,謝青在 WEF 投稿提醒,跨部門的網路安全人才已嚴重不足,而且這個趨勢沒有意外將持續下去。
他點出,「網路」、「安全」這兩個詞彙,讓資安職位看起來需要極專業的技能才能勝任,但企業事實上可透過培訓其他非專業人員來增強企業整體的資安免疫系統,尤其需要針對那些已具備軟技能的員工來進行培訓。
謝青解釋,協作、批判性思維和解決問題等軟技能對團隊來說至關重要,因為這些技能可以幫助企業組織以戰略與協作的方式來工作,而這些可以大幅降低企業內部的資安風險並防止漏洞被利用的機率,一系列從初階到高階的相關技能,都可以透過市場上的專業培訓與認證課程來進行增強。
事實上,根據微軟(Microsoft),「人為錯誤/疏失」是造成安全性缺口的一大原因,因為這會為惡意犯罪分子提供漏洞,例如員工不小心點選了惡意連結,或者不慎將資料移動到較不安全的位置等,因此,強化團隊整體的資安意識、建立基礎資安能力來說就至關重要。
雖然這項 Google Cloud 認證主要是針對 Google 雲端平台上進行設計、部署設定而設,不過執行安全基礎建置也是這項認證的一大重點。通過 Google Cloud 認證,便具備一定的專業知識。
微軟的官方網站上有提供一定的課程內容讓用戶自學,而大多數的課程難度約為中級程度,建議有部分程式人員相關背景者修習。在通過微軟 Azure 雲端服務的 AZ-500 測驗後,代表具有管理身分識別和存取權、安全網路、安全運算、儲存與資料庫以及管理安全性作業的能力。
♦ AWS 資安認證
如果企業使用的是 AWS 雲端服務產品,這項雲安全認證就會是團隊成員的首選。通過這項認證,可以協助員工在保護 AWS 雲端資料和工作負載方面具有一定的專業知識,不過此認證較適用於曾擔任過資安角色且至少有兩年 AWS 雲端實務經驗者。
Fortinet 則有提供免費的網路安全培訓,並分別針對不同族群的需求。例如針對安全專業人員的進階培訓、針對 IT 專業人員的技術培訓,以及面向遠距工作者的意識培訓等等。據 Fortinet 指出,透過這些培訓計畫、培訓學院,5 年來已在全球對 100 萬人進行了網路安全培訓。
♦ 趨勢科技教育訓練
另外,像是趨勢科技這類資安公司也有由資安專家講解的線上教育課程,如果企業使用的是趨勢科技的產品,就可以透過參加趨勢科技產品認證訓練,來獲得相關的技能,以協助公司更有效部署與管理相關資安解決方案,並學習如何防範最新攻擊。
國內攻擊型資安公司 DEVCORE 提供的資安教育訓練則提供有別於一般坊間資安課程的訓練,由於 DEVCORE 專家熟知各種駭客社群發布的最新情資及攻擊手法,因此在 DEVCORE 提供的資安教育訓練終將提供各種入侵攻擊案例的線上環境,由專家講解攻擊概念、入侵步驟與有效的防禦之道,透過建構「駭客思維」快速判定攻擊目的、手法、漏洞,以更加快速應變處理。
企業最該注重的是「不會過時的資安思維」
最後,對於企業主、資安領導者來說,必須要認清的一個思維是,駭客攻擊手法只會日新月異,因此網路安全也不會永遠一成不變,這代表企業應該注重的是「不會過時的資安思維」,而非特定的工具或技術。透過對其他非資安專業員工進行基本網路安全概念培訓,不但可以解決資安人力不足的燃眉之急,也可以藉此成為企業養才、留才的一種方式。
而對於非資安專業的工作者來說,培養自己的資安意識與技能只會有益而無害。根據 OECD 的估計,科技技術的持續進步,將在未來 10 年徹底改變 10 億個工作崗位。
WEF 的《2023 全球網路安全展望》報告指出,有多達 59% 的企業領導人、64% 的網路領袖,將「徵才、留才」列為保持網路韌性(cyber resilience)的最主要挑戰。
謝青指出,對於希望接受新型工作培訓的工作者和求職者來說,「網路安全」領域提供了一個穩定的選擇,也是終身學習的一大機會,無論自己現在位處什麼產業與職位,都可以透過主動學習相關知識與技能,來獲得更多職涯發展可能。
參考資料:WEF、Forbes,首圖來源:Photo by Sigmund on Unsplash
(責任編輯:藍立晴)
