AWS揭示資安攻防要領 助企業增強數位韌性 智慧應用 影音
Event
DFORUM

AWS揭示資安攻防要領 助企業增強數位韌性

  • 黎思慧台北

AWS於日前以「解析資安攻防國際實例、強化企業政府數位韌性」為主軸舉辦「雲世代資安戰略峰會」。AWS
AWS於日前以「解析資安攻防國際實例、強化企業政府數位韌性」為主軸舉辦「雲世代資安戰略峰會」。AWS

現今多數企業都認同雲端為加速創新、拓展業務的首選環境,更是驅動數位轉型的重要平台。惟同時間駭客眼見諸多企業將應用、資料甚至IT基礎設施移轉上雲,便鎖定雲環境積極尋求破解與入侵之道,連帶為企業帶來威脅。

著眼於此,AWS於日前舉辦「雲世代資安戰略峰會」,並以「解析資安攻防國際實例、強化企業政府數位韌性」為主軸,一方面協助企業在雲上順利推動數位轉型,另一方面憑藉雲平台上豐富的服務與功能,幫助企業提升資料安全性和合規性,造就強大的資安韌性。

AWS台灣暨香港總經理王定愷建議企業必須培養資安文化,延攬具攻防經驗的專家。AWS

AWS台灣暨香港總經理王定愷建議企業必須培養資安文化,延攬具攻防經驗的專家。AWS

培養資安文化,延攬具攻防經驗的專家

AWS台灣暨香港總經理王定愷表示,經濟學人將資料喻為新石油,為此AWS提供許多實用工具,讓企業能將石油轉換成財富。但AWS意識到在資料價值變現的過程,若未做好資安,恐導致財富化為烏有,因而格外注重雲端安全。

企業IT部門經常有刻板印象,認為部署防火牆、VPN、防毒…等防護機制,且公司通過ISO 27001認證,已安全無虞。這些設備對企業確實必要,但它們都是上一世紀的技術,對付新型態威脅難免左支右絀,拿這些武器和駭客對壘,好比用大刀抵禦敵人的槍炮,技術上完全不對等,自然容易被攻破。

如何扭轉劣勢?王定愷建議,首先要讓人人皆有資安概念,不要隨便上不明網站、隨便點擊郵件附檔。其次培養資安文化,將資安意識內化成每個員工的行為準則。再者聘用「真的」專家,即便企業IT或資安人員累積甚多資安技術與經驗,仍需與時俱進;至於如何認定為真的專家?第一找懂資安的,第二找與駭客交手過的,第三找打贏駭客的。

另一重點是安全左移與自動化。從產生靈感、設計架構到程式編碼,每一段都融入資安概念,並自動化執行安全檢測,及早發現並修復漏洞風險。

打造共同基建,加速政府數位轉型

AWS全球政府轉型總經理 Liam Maxwell,分享其協助英國政府推動數位政策的經驗。

他指出多數技術走S曲線,從一開始的創新事物演化成常態商品,但政府很難套用此成長路徑,係因政府運作型態複雜。因此要做轉型、第一件事就是簡化,透過建立共同基礎建設與共享服務,加速推動改革。隨著共同基礎建設向上發展至更高階層,就需要有更複雜的共同基礎建設,據以發揮更多功能,此時雲端就派上用場。

因為雲端是細膩且複雜的共同基礎建設形式,讓人員不僅能儲存、連結、主導資料庫,還可執行更多服務。更重要的,雲端讓英國政府按需採購所需功能且隨用隨付,避免因變革而承擔高昂成本,從而迅速從Discovery、Alpha、Beta邁進Live階段,實現敏捷架構,確保民眾獲得實用服務,也確保每次的改變都深具安全性。

此乃由於,若沿用地端各項舊系統,很難確保它們是否更新過;如今轉移上雲,更易於常態性落實資安政策,且採用AWS禁得起嚴格監管與稽核的高安全標準,保障每一筆高敏感性的政府資訊。

從駭客角度思考防守,依業務需求定義保護策略

本次高峰會的其餘亮點,包括由AWS國內外專家闡釋如何強化組織數位韌性,並舉行一場「雲領資安」焦點座談,由與談專家暢談資安韌性心法。

AWS專業解決方案架構師總監楊仲豪建議,企業應打破資安韌性神邏輯,莫將安全寄望於舊有迷思。資安韌性就是止血和回神,可以被打,但絕不能被直搗黃龍、更不能被打死。

正所謂知己知彼,企業需以駭客思維看待防守。根據Kill Chain獵殺鏈的每一步,對照企業「皇冠上的珠寶」,(意指駭客最愛打、且對企業影響較大的系統)所走的路徑,檢視當前擁有什麼樣的保護力,才能劃出後續補強重點,確保將資源放到對的位置。

AWS全球服務安全威脅檢測資深安全顧問Richard Billington強調,資安事件回應(IR)是養成資安韌性的首要關鍵,故企業需有能力查看、檢視和證實資安事件;接著檢視控制與偵測措施的強度是否足夠,及檢視IR Playbooks/Runbooks的有效性。

此外企業應定期運行安全事件響應模擬(SIRS),循序執行建構場景、選擇參與者、安排執行角色等程序,再衡量事件回應結果,像是檢測時間、收容時間、恢復及關閉時間、警報準確性等,並藉由根因分析,排定優先處理的工作級別,利追蹤改進成效。

進入「雲領資安」焦點座談,由AWS資訊安全顧問李宜謙進行引言,導引勤業眾信資深執行副總經理林彥良、HITCON台灣駭客年會創辦人徐千洋、Auriga Security執行長Henry Hu,發表各自對資安韌性的見解。

徐千洋說,從曾經是創業者的角度來看,若欲經營歐美市場,應採取以SaaS為主的策略,而非依循傳統賣產品的思維。他並強調,認真做好法遵、落實BCP永續經營理念,對爭取國外客戶信任極其重要,切莫輕忽。

Henry Hu認為,不少企業啟動雲端工作負載時,都曾因錯誤的設定、或錯誤的IaC部署,產生重大衝擊,故應將此視為基礎建設保護的重要一環,並做好對應BCP、IR規劃,以便在事發後儘快復原。

林彥良則表示,資安人員須理解,今天被賦予執行資安任務,要做的並非IT資安,而是全公司的資安,需要從業務層面檢視需要優先保護什麼標的,切記與業務單位充分溝通對焦,非自己說了算。此外也不要再迷信能擋住所有攻擊,除讓董事會理解「不是花錢買設備就沒事」外,應花心思設想如何「出了事還能繼續營運」,這才是BCP規劃重點,至於應該多快完成災難復原,須以業務單位的需求為依歸,再由IT與業務共同排定備份備援工作的優先順序。


關鍵字