AWS揭示資安攻防要領 助企業增強數位韌性

AWS於日前以「解析資安攻防國際實例、強化企業政府數位韌性」為主軸舉辦「雲世代資安戰略峰會」。AWS

現今多數企業都認同雲端為加速創新、拓展業務的首選環境，更是驅動數位轉型的重要平台。惟同時間駭客眼見諸多企業將應用、資料甚至IT基礎設施移轉上雲，便鎖定雲環境積極尋求破解與入侵之道，連帶為企業帶來威脅。

著眼於此，AWS於日前舉辦「雲世代資安戰略峰會」，並以「解析資安攻防國際實例、強化企業政府數位韌性」為主軸，一方面協助企業在雲上順利推動數位轉型，另一方面憑藉雲平台上豐富的服務與功能，幫助企業提升資料安全性和合規性，造就強大的資安韌性。

培養資安文化，延攬具攻防經驗的專家

AWS台灣暨香港總經理王定愷表示，經濟學人將資料喻為新石油，為此AWS提供許多實用工具，讓企業能將石油轉換成財富。但AWS意識到在資料價值變現的過程，若未做好資安，恐導致財富化為烏有，因而格外注重雲端安全。

企業IT部門經常有刻板印象，認為部署防火牆、VPN、防毒…等防護機制，且公司通過ISO 27001認證，已安全無虞。這些設備對企業確實必要，但它們都是上一世紀的技術，對付新型態威脅難免左支右絀，拿這些武器和駭客對壘，好比用大刀抵禦敵人的槍炮，技術上完全不對等，自然容易被攻破。

如何扭轉劣勢？王定愷建議，首先要讓人人皆有資安概念，不要隨便上不明網站、隨便點擊郵件附檔。其次培養資安文化，將資安意識內化成每個員工的行為準則。再者聘用「真的」專家，即便企業IT或資安人員累積甚多資安技術與經驗，仍需與時俱進；至於如何認定為真的專家？第一找懂資安的，第二找與駭客交手過的，第三找打贏駭客的。

另一重點是安全左移與自動化。從產生靈感、設計架構到程式編碼，每一段都融入資安概念，並自動化執行安全檢測，及早發現並修復漏洞風險。

打造共同基建，加速政府數位轉型

AWS全球政府轉型總經理 Liam Maxwell，分享其協助英國政府推動數位政策的經驗。

他指出多數技術走S曲線，從一開始的創新事物演化成常態商品，但政府很難套用此成長路徑，係因政府運作型態複雜。因此要做轉型、第一件事就是簡化，透過建立共同基礎建設與共享服務，加速推動改革。隨著共同基礎建設向上發展至更高階層，就需要有更複雜的共同基礎建設，據以發揮更多功能，此時雲端就派上用場。

因為雲端是細膩且複雜的共同基礎建設形式，讓人員不僅能儲存、連結、主導資料庫，還可執行更多服務。更重要的，雲端讓英國政府按需採購所需功能且隨用隨付，避免因變革而承擔高昂成本，從而迅速從Discovery、Alpha、Beta邁進Live階段，實現敏捷架構，確保民眾獲得實用服務，也確保每次的改變都深具安全性。

此乃由於，若沿用地端各項舊系統，很難確保它們是否更新過；如今轉移上雲，更易於常態性落實資安政策，且採用AWS禁得起嚴格監管與稽核的高安全標準，保障每一筆高敏感性的政府資訊。

從駭客角度思考防守，依業務需求定義保護策略

本次高峰會的其餘亮點，包括由AWS國內外專家闡釋如何強化組織數位韌性，並舉行一場「雲領資安」焦點座談，由與談專家暢談資安韌性心法。

AWS專業解決方案架構師總監楊仲豪建議，企業應打破資安韌性神邏輯，莫將安全寄望於舊有迷思。資安韌性就是止血和回神，可以被打，但絕不能被直搗黃龍、更不能被打死。

正所謂知己知彼，企業需以駭客思維看待防守。根據Kill Chain獵殺鏈的每一步，對照企業「皇冠上的珠寶」，（意指駭客最愛打、且對企業影響較大的系統）所走的路徑，檢視當前擁有什麼樣的保護力，才能劃出後續補強重點，確保將資源放到對的位置。

AWS全球服務安全威脅檢測資深安全顧問Richard Billington強調，資安事件回應（IR）是養成資安韌性的首要關鍵，故企業需有能力查看、檢視和證實資安事件；接著檢視控制與偵測措施的強度是否足夠，及檢視IR Playbooks／Runbooks的有效性。

此外企業應定期運行安全事件響應模擬（SIRS），循序執行建構場景、選擇參與者、安排執行角色等程序，再衡量事件回應結果，像是檢測時間、收容時間、恢復及關閉時間、警報準確性等，並藉由根因分析，排定優先處理的工作級別，利追蹤改進成效。

進入「雲領資安」焦點座談，由AWS資訊安全顧問李宜謙進行引言，導引勤業眾信資深執行副總經理林彥良、HITCON台灣駭客年會創辦人徐千洋、Auriga Security執行長Henry Hu，發表各自對資安韌性的見解。

徐千洋說，從曾經是創業者的角度來看，若欲經營歐美市場，應採取以SaaS為主的策略，而非依循傳統賣產品的思維。他並強調，認真做好法遵、落實BCP永續經營理念，對爭取國外客戶信任極其重要，切莫輕忽。

Henry Hu認為，不少企業啟動雲端工作負載時，都曾因錯誤的設定、或錯誤的IaC部署，產生重大衝擊，故應將此視為基礎建設保護的重要一環，並做好對應BCP、IR規劃，以便在事發後儘快復原。

林彥良則表示，資安人員須理解，今天被賦予執行資安任務，要做的並非IT資安，而是全公司的資安，需要從業務層面檢視需要優先保護什麼標的，切記與業務單位充分溝通對焦，非自己說了算。此外也不要再迷信能擋住所有攻擊，除讓董事會理解「不是花錢買設備就沒事」外，應花心思設想如何「出了事還能繼續營運」，這才是BCP規劃重點，至於應該多快完成災難復原，須以業務單位的需求為依歸，再由IT與業務共同排定備份備援工作的優先順序。