企業遭駭客入侵的例子時有所聞,早已不是新鮮事。但從台灣僅有13%的企業設有資安長的數據看來,資安在企業受重視的層級顯然仍不高,而這也恐怕是到現在許多企業仍要等到被駭客入侵後,才想到亡羊補牢的原因。
核心決策團隊缺乏資安專職角色、應設資安KPI
根據IDC IT安全成熟度報告,2017年亞太區(除日本外)仍有高達8成以上的企業資安防護成熟度低落。其中,有多達43.8%的企業根本缺乏專職的資安人員與應變小組。台灣市場也有相同的情形,IDC亞太地區IT資安副總裁Simon Piff指出,只有13.3%的台灣企業有資安長(CISO,Chief Information Security Officer)、44%是由資訊長(CIO)兼任、21.3%由IT總監(IT director)兼任。
問題是,資訊長管轄的範圍很大,很難一人兼顧資安領域,且缺乏資安長,也就意味著資安不在企業核心決策團隊的優先考量。Simon Piff表示,只有20%的資安長曾向董事會報告,且非例行性。
多數時候,資安對企業來說可能就是IT問題的一環,不過Simon Piff建議,企業應該從「如何透過IT降低企業營運風險」的角度來看待這件事。而最直接的方法,就是替執行長、或是直接向執行長或董事會報告的人,設出「資安KPI」,將資安列入例行性工作。
基層人員資安思維調整:從「事後補救」到「嵌入工作流程」
當然,改善企業資安不會只是上層組織的工作,基層IT人員思維同樣要做改變。而Simon Piff的建議是採取「SecDevOps」的工作流程,讓資安人員(Security)、軟體開發人員(Development)和IT維運技術人員(Operations)跨部門合作。
不過,100%的資安防護畢竟不存在,面對變動極大的資安事件,想加快應變處理速度,只能仰賴資安基本功是否夠紮實。國際資安事件鑑識組織(FIRST)建議,企業平常就要模擬演練資安事件,測試內部單位在入侵事件發生時如何反應;或是進行紅隊(Rea Team)測試,讓資安專家組成滲透團隊,模擬入侵者的戰略;另外,社交工程(social engineering)測試也是常見方式,即是用重大事件與新聞作為誘餌,測試員工是否會打開釣魚連結或檔案並機會教育。
加入國際資安社群,即時掌握資安事件資訊
除了在企業內部做好防護,由於資安攻擊不分地域、來自全球各地,因此資訊共享也相當重要。由國際資安事件鑑識組織(FIRST)成立的開源資安資訊分享平台「MISP」,讓全球企業和資安專家可即時更新重大資安事件。除了是邀請制,MISP還可設定資安事件機密程度、按照等級決定訊息公開程度,如僅開放給特定人士閱讀、開放給特定產業,或是可完全公開。
FIRST董事、資安專家Adli Wahid舉例,日前癱瘓全球的勒索病毒「WannaCry」,選擇在週五晚上展開大規模攻擊。雖然當時大部分企業已下班,但大家仍可透過MISP平台,確認資安事件的真實性、實際發生情形、影響範圍等。
