做好鑑識分析與漏洞檢測 有效防止資安事件 智慧應用 影音
DFORUM
IC975

做好鑑識分析與漏洞檢測 有效防止資安事件

  • DIGITIMES企劃

勤業眾信風險管理諮詢公司協理陳威棋。
勤業眾信風險管理諮詢公司協理陳威棋。

發生在2016年7月的第一銀行ATM盜領案,不僅震驚全台,更讓不少人開始擔心,如果連金融業都會有資安問題,其他產業會不會也有類似的問題。勤業眾信風險管理諮詢公司協理陳威棋指出,如果能從ATM盜領案的來龍去脈,了解如何檢核組織內部的資安應變機制,對有效防止資安事件,其實有莫大的幫助。

陳威棋指出,其實從ATM盜領案的關鍵時間軸來分析,台灣檢調單位的動作已經算是相當快,而且在事件發生後,金管會也已經要求台灣各大金控要做後續處理,尤其從9月開始,金融相關單位都有針對ATM設備舉辦資安攻防演練,攻防演練計畫會分成不同小組進行,包括攻擊組、防禦組、裁判組、規劃組及行政業務組等,也可作為其他產業在資安管理方面的參考。

如資安事件發生後,公司整體的應變及後續的調查機制應該怎麼做?有無建立標準作業程序(SOP)?陳威棋強調,資安事件之所以會發生,除了技術面外,關鍵往往是在管理面。以ATM盜領案為例,車手第一時間領到錢時,整個過程是否有及時顯示任何異常狀況?監控機制有無發揮其預警機制?為什麼可以這麼容易跨過網路防護機制?第一時間可以從哪裡開始調查?是否有能力蒐集足夠的數位足跡?如何確認是內部問題?還是外部駭客入侵?

陳威棋指出,ATM盜領案的啟示之一,就是讓許多企業高階主管更重視資訊安全的重要性,不但開始投入資源,將資訊安全納入KPI之一。企業也發現,要有數位證據保全及初步分析能力,不僅方便自清,同時也較能面對未來的訴訟,另建議而針對較舊的作業系統版本,也要有整體的汰換計畫。

此外,企業應開始思考從被動防禦機制,轉變成主動發現威脅強化,如可參考Cyber Threat Intelligence機制導入,積極了解企業內部所使用資訊設備類型及網路環境架構,參考在國外最新第一手外部威脅情境。

陳威棋表示,企業不僅要做好資安的事前防禦能力、事中偵測機制及事後處理措施,同時應根據不同階段,來檢視有無需要加強防護,而且包括管理面及技術面都要加強。

事實上,許多調查機構早已發現,資安事件持頻頻傳的原因,在於許多企業看待資安管理的態度。陳威棋引述Gartner的「預防無用論」指出,因為攻擊者擁有無限次的機會來突破防禦,想要成功阻止針對性攻擊的入侵,已經不切實際,企業應該永遠假設自身正受攻擊,故建立整體性的持續防禦流程,做好第一時間的因應機制,可能比投入過多資源於預防駭客攻擊,更符合實務要求。

陳威棋指出,在與風險共存的時代,資安管理治理議題須拉高至董監事層級,透過與董事會宣導資安風險的概念,將更有成效。此外,企業也可以參酌相關國內外資訊安全風險指標最佳實務,如勤業眾信的資安風險指標設計框架,透過風險燈號作為警告介面,有利於跟高階主管說明及決通目前資安風險輪廓。

但合規只是起點,企業真正的需求是管理所面臨的資安風險,要有還原真相與訴訟支援的數位鑑識能力,尤其是數位證據保全非常重要,在被攻擊的第一時間,就要注意不能破壞數位證據,才能夠在資安事件下存活。

同時要進行涵蓋業務與IT的資安緊急應變與攻防演練,企業可以用對外的主要網站或內部重要系統為範本實際進行演練,才會看到突發狀況會發生的事情,如誰會處理、資料實際保存的狀況。

更重要的是,企業要將資安防禦提升為威脅情資的對抗,而且要善用外部情資,如資安專家的討論或國外案例,不要等事件發生後才來討論,才能有效降低資安風險。


關鍵字