翔偉提供諮詢顧問服務 助企業檢視資安體質
- 洪千惠
-
不少人樂觀預期,隨著工具軟體的進步、人工智慧(AI)運用愈趨純熟,必然對企業的資安防禦力多所助益;殊不知駭客可能更懂得善用AI與工具軟體,加上地下經濟體系的奧援,得以憑藉高速運算實力,展現較強大的攻擊火力,過去或許需要苦心琢磨APT針對式攻擊,如今企業必須將零時差攻擊演進至無時差防禦,防止亂槍打鳥,人人皆受駭。
對於位居防守方的企業,2018肯定不是個輕鬆的年頭。翔偉資安科技營運長杜世鵬認為,企業當務之急,必須回歸核心問題,認真檢視自身的資安基礎環境,看看原本擔心的防護罩門,是否真的有效填補?原本規劃的資安政策,是否真的被每項防護工具貫徹施行?畢竟進入無時差攻擊年代,資安防禦務求完美、不容缺漏,只要一步錯,資料外洩悲劇就可能發生。
當前多數資安廠商,個個很忙碌,忙於醞釀更完整的AI機能,而在AI機制邁向成熟之前,企業宜先透過管理視野,檢視基礎環境有無漏洞,基於旁觀者清,最好尋求第三方資安服務業者的協助,譬如翔偉即可扮演顧問角色,提供CIO Level戰略諮詢,幫助企業通盤檢視各項資產重要性的優先等級,繼而針對核心資產,進行關鍵性防禦佈局,而非頭痛醫頭、腳痛醫腳,更非一味鼓吹採買設備,而是引導企業真正落實紀律管理,徹底消弭不該出現的疏漏。
檢視現行設備,是否落實資安政策
面對即將到來的2018年,翔偉技術支援部資深技術經理許鴻源預期,一些現在已出現的資安威脅,今後仍持續存在,例如勒索病毒攻擊、資料外洩、釣魚網站、詐騙網站等等,但攻擊手法推陳出新。以勒索病毒為例,可能結合「無檔案式威脅」特性,直接讓加密程式碼進駐記憶體,一般防毒軟體肯定無從偵測,只要有新檔案進入,將立即遭變更檔名並加密,殺傷力強過以往。
基於上述威脅,許鴻源提出三點建議。首先不論勒索軟體、零日攻擊,都會利用作業系統、應用程式或檔案的漏洞,而只要是工程師寫的軟體,就無可避免一定有漏洞,因此當漏洞被揭露、直到原廠釋出修補程式的這段期間,企業務須設法做到「無時差防禦」,相關做法包括虛擬補丁,或借助雲端威脅情報及早探知漏洞資訊,加速採取因應對策。
其次企業或政府機關往往因應ISO、個資法等不同需求,分階段引進帶有不同功能的資安設備,卻未必仔細檢視組織的資安政策,是否真的被落實到這些設備?及是否發揮預期防護效果?他建議企業爾後不急著買新設備,先靜下心來,反思前述問題是否已有明確解答,如果沒有,應立即徹底檢視資安設備的設定、及實際發揮的防禦功效。
再者企業應思考自己的核心價值為何,再根據其價值定位,自我省思現行的防禦機制究竟夠不夠。以電商為例,切莫以為啟用SSL CA,即可完全確保網站安全性,仍須參酌諸如BSI等國際規範,不斷檢驗CA的強度。
許鴻源表示,翔偉自2004年成立以來,一直強調資訊服務管理,除提供設備、協助企業執行基礎防護外,也提供諮詢顧問服務,幫助客戶解決資安難題、甚至做到資安健診,前述包括SSL CA強度驗證,資安政策的落實與否、乃至配套稽核與確認機制的建立,皆在服務範疇之內。
