企業提升資安體質 四招不可少
來源:工商時報網
文/翁浩正(戴夫寇爾執行長兼共同創辦人)
近年來,隨著黑色攻擊產業鏈的擴大,資料遭販售等資安事件層出不窮,台灣企業除了持續提高資安預算、正視資安服務價值外,心態也由滿足法規要求、稽核等基本目標,轉變為更主動提升資安防護能力。種種作為皆顯示台灣的民間企業、公部門、甚至是一般消費者的資安意識日漸提升。然而,我們須思考的是,資安「意識」進步的同時,企業或組織是否有做出相對應具體行動提升資安「體質」?
過去幾年間,臺灣大型企業的資安投資力道呈顯著成長,根據 iThome 統計數據,企業平均資安預算從2017年的435萬元,到2023年已大幅提升至約1,408萬元;2022年的資安預算715萬元與實際支出1,193萬元,更有高達近480萬元的差距。而 DEVCORE 統計數據卻顯示,有87%企業在演練過程中外部系統可被成功控制,其中近半數演練曾發現企業機敏資料遭員工不慎上傳至Google Drive、GitHub等平台,更有71%企業第三方系統存在高風險弱點。
因此無論是線上學習系統、ERP企業資源規劃系統、或是辦公室內的實體印表機,都可能成為攻擊方的攻擊破口或潛在據點。可見儘管企業資安投入大幅提升,但面對瞬息萬變的攻擊技巧,防護能量仍需因應最新威脅不斷強化。
做好資安如同防疫,只透過 N95口罩、防護衣阻隔病毒侵入是一時之舉,回頭檢視自身配置並提升整體免疫力和防禦力才是長久之計。同樣地,企業在思考資安時,添置必要的軟硬體設備做好基礎防護固然重要,但透過定期演練、制定防禦應變流程、持續評估資安部署的優先順序及有效性,藉此全面性地提升資安體質,方為長久應對之道。
我們從紅隊演練經驗中觀察到,資安體質持續進步的企業多是透過以下四種方法變得更健康。首先,持續縮小攻擊表面積,如遵循「權限最小化」原則,降低駭客組織取得權限後能造成的影響;第二、徹底落實網段切割,降低駭客從對外系統即可連線直達AD等核心系統的可能性。
其三、企業主管應抱持「究事、不究責」的態度,放手讓團隊嘗試。最後,樂於接受駭客思維,不再以「有利於防禦方」的角度來指揮攻擊方,而是敢於接受模擬真實駭客行動、全盤性的演練,往往能更有效檢視企業資安應變機制、提升團隊回應速度,達成更好的演練效果。
隨著運算力的提升及AI應用的普及化,更多降低攻擊成本的工具或服務的面世,也將使未來的防禦變得更加困難,與其抱著僥倖心態、忽略資安事件發生的可能性,企業應抱持開放態度,不斷觀察並接受外在變化,更須考量自身特性、規模、需求、資安成熟度,以真實檢測了解自身防護能量,規劃合適的資安防禦計畫,對資安投資進行有效配置,全面性強化資安韌性及體質。
敬邀參加112年07月份台商張老師「中、南部」現場預約駐診諮詢服務,
敬請事先報名才能保留座位,歡迎踴躍參加
*台商張老師季刊自103年起轉為「月刊」發行囉!有需要的朋友可填寫索閱登記表喔!
詳情請至以下網址:https://www.chinabiz.org.tw/Ads/ShowC?id=34
|