做好鑑識分析與漏洞檢測 有效防止資安事件

勤業眾信風險管理諮詢公司協理陳威棋。

發生在2016年7月的第一銀行ATM盜領案，不僅震驚全台，更讓不少人開始擔心，如果連金融業都會有資安問題，其他產業會不會也有類似的問題。勤業眾信風險管理諮詢公司協理陳威棋指出，如果能從ATM盜領案的來龍去脈，了解如何檢核組織內部的資安應變機制，對有效防止資安事件，其實有莫大的幫助。

陳威棋指出，其實從ATM盜領案的關鍵時間軸來分析，台灣檢調單位的動作已經算是相當快，而且在事件發生後，金管會也已經要求台灣各大金控要做後續處理，尤其從9月開始，金融相關單位都有針對ATM設備舉辦資安攻防演練，攻防演練計畫會分成不同小組進行，包括攻擊組、防禦組、裁判組、規劃組及行政業務組等，也可作為其他產業在資安管理方面的參考。

如資安事件發生後，公司整體的應變及後續的調查機制應該怎麼做？有無建立標準作業程序(SOP)？陳威棋強調，資安事件之所以會發生，除了技術面外，關鍵往往是在管理面。以ATM盜領案為例，車手第一時間領到錢時，整個過程是否有及時顯示任何異常狀況？監控機制有無發揮其預警機制？為什麼可以這麼容易跨過網路防護機制？第一時間可以從哪裡開始調查？是否有能力蒐集足夠的數位足跡？如何確認是內部問題？還是外部駭客入侵？

陳威棋指出，ATM盜領案的啟示之一，就是讓許多企業高階主管更重視資訊安全的重要性，不但開始投入資源，將資訊安全納入KPI之一。企業也發現，要有數位證據保全及初步分析能力，不僅方便自清，同時也較能面對未來的訴訟，另建議而針對較舊的作業系統版本，也要有整體的汰換計畫。

此外，企業應開始思考從被動防禦機制，轉變成主動發現威脅強化，如可參考Cyber Threat Intelligence機制導入，積極了解企業內部所使用資訊設備類型及網路環境架構，參考在國外最新第一手外部威脅情境。

陳威棋表示，企業不僅要做好資安的事前防禦能力、事中偵測機制及事後處理措施，同時應根據不同階段，來檢視有無需要加強防護，而且包括管理面及技術面都要加強。

事實上，許多調查機構早已發現，資安事件持頻頻傳的原因，在於許多企業看待資安管理的態度。陳威棋引述Gartner的「預防無用論」指出，因為攻擊者擁有無限次的機會來突破防禦，想要成功阻止針對性攻擊的入侵，已經不切實際，企業應該永遠假設自身正受攻擊，故建立整體性的持續防禦流程，做好第一時間的因應機制，可能比投入過多資源於預防駭客攻擊，更符合實務要求。

陳威棋指出，在與風險共存的時代，資安管理治理議題須拉高至董監事層級，透過與董事會宣導資安風險的概念，將更有成效。此外，企業也可以參酌相關國內外資訊安全風險指標最佳實務，如勤業眾信的資安風險指標設計框架，透過風險燈號作為警告介面，有利於跟高階主管說明及決通目前資安風險輪廓。

但合規只是起點，企業真正的需求是管理所面臨的資安風險，要有還原真相與訴訟支援的數位鑑識能力，尤其是數位證據保全非常重要，在被攻擊的第一時間，就要注意不能破壞數位證據，才能夠在資安事件下存活。

同時要進行涵蓋業務與IT的資安緊急應變與攻防演練，企業可以用對外的主要網站或內部重要系統為範本實際進行演練，才會看到突發狀況會發生的事情，如誰會處理、資料實際保存的狀況。

更重要的是，企業要將資安防禦提升為威脅情資的對抗，而且要善用外部情資，如資安專家的討論或國外案例，不要等事件發生後才來討論，才能有效降低資安風險。