專注雲端服務解決方案的羽昇國際日前舉辦【資安主管講堂】,以「預知風險,管理數位攻擊面」為主題,邀請國立台灣科技大學、Zscaler、Google Cloud Mandiant、Splunk、玉山銀行、合勤控股等公司專業資安人員、資安長,探討資安主管的挑戰,資安人員如何與上中下階層有效溝通,分享製造業、跨國企業資安問題,如何利用威脅情資打造安全、打造智慧的資安環境等。
羽昇國際副總經理鄭淑芬表示,羽昇國際是零壹科技的子公司,一直以來專注於雲端安全。這次活動聚焦在高科技及金融業是因為這兩個行業都在積極進行數位轉型、上雲。目前上市上櫃公司以及金融機構都被要求安排資安長或資安主管,面對越來越複雜的網路、雲端威脅,資安主管的工作將越來越繁重,羽昇國際期望透過此活動創造一個平台讓資安主管可以相互交流,並了解最新的防護技術。
資安長的挑戰
開場由國立台灣大學資管系主任暨資通安全研究與教學中心主任查士朝分享資安長的挑戰。他表示,當前資安主管的挑戰包括人力短缺、經常被詢問某些資安問題、向董事會報告,及資安事件處理、因應等。他認為,培養資安人力要看企業規模,建議優先補強稽核人員,確保資安正常運作,分析部分則可委外,也要儘量避免資安疲勞。
查士朝認為,當要導入某些技術時,要思考這些技術導入過程中是否會有風險,是否可妥善處理,且需有一個指標,以評量風險是否可被有效控制。
向董事會報告的內容包括事件彙整,目前的資安狀況,呈現的指標等,他建議最好將資安當成公司內部循環制度。而在處理意外事件上,他建議資安主管要做好資安追蹤準備,如監控追蹤、回覆機制、購買資安保險等。
資安轉型
在企業數位化、資安轉型方面,Zscaler 台灣區技術顧問楊政霖分享,數位化轉型包括應用程式、網路和安全的轉型,近幾年應用程式都往雲端開發,流量會從節點出去,提供完整零信任平台,降低商業風險很重要。
他指出,中心輻射型網路和城堡護城河的安全性架構,可能會讓駭客利用基於邊界防火牆、VPN安全性進行入侵和攻擊,他們可在網際網路上進行IP攻擊入侵,也能規避防護後,在內部進行橫向擴充。
楊政霖指出,數位化轉型重要的是「將攻擊面消除,不要將服務暴露在網際網路上,威脅部分加強保護,讓使用者存取服務時,不能進行橫向移動」。Zscaler 提供完整的零信任平台,可協助企業降低風險、減少成本,也能使企業在全球通過雲服務,得到一致性政策。
面對全球資安威脅,Google Cloud Mandiant 技術經理邱上峯表示,Mandiant 最大客戶是美國政府與軍方,長期追蹤駭客組織,將這些情報關聯起來,可以清晰看到前線駭客所做的事,包括系統被植入什麼程式,利用何種管道、漏洞入侵等。邱上峯舉例,中國網路間諜組織UNC3886與近期的VMware漏洞相關,不僅攻擊VMware,還攻擊其他平台漏洞,他們最大的手法是「避開EDR」,使用無法安裝EDR平台的設備進行攻擊。
邱上峯表示,Mandiant 整合來自300多名,20多個國家情報專家、研究人員,整合、分析網路威脅情報,提供Fire Eye和Mandiant託管防禦服務,在全球範圍內了解快速發展的威脅形式,運用內部防禦、資安驗證和外部檢視,築起企業資安長城。
Splunk 北亞區合作夥伴技術經理楊耀輝,當天也分享製造業資安挑戰。他表示,製造業目前遇到的問題是數據規格不統一,IT或OT需分開導入不同系統,很多傳統設備陳舊,缺乏內部人才、勞動力老齡化等,還有收集的數據無法及時可見的問題,但資安問題擴散很快,一天內若無處理很可能影響深遠。
當天也分享了關於2022年統計,製造業是遭網路攻擊數量最多的產業,很多攻擊來自勒索軟體,也來自非專業人員,「只要有方法通過非法渠道,大家都有能力成為駭客。」Splunk解決方案,是將各種指標彙整至總體風險狀況評分中,實現整體安全可見性。將不同設備、不同規格與不同分公司的資料彙整在同一報表中。該公司也提供IT和OT環境的完整可見性,平台的 Sustainability Toolkit可幫助企業實現可持續發展。
羽昇國際資深技術顧問莊斯凱在分享協助產業導入的經驗時指出,在協助客戶進行資安轉型時,常會遇到客戶有「多雲的情境」,不同團隊用不同系統,有時不同地區政策不同,架構不同,資安工程師也不同,然站在安全角度上,他們需完整的網路串聯機制,與不同資安工程師討論,找出不同系統弱點。
莊斯凱也提及了前陣子護國神山發生的資安事件觸發他們的思考,「我們外部供應商進入內網,如何做到零信任架構?如何給他們有效權限,觸碰到的地區是可管控的。」他說,發生這樣的事情應如何避免,企業可從別人發生的事情作為借鏡,投入資源做好系統全面健康檢查,才知道風險在哪,企業也需做好完整資料收集,才能做好策略反應。
▲羽昇國際資深技術顧問莊斯凱(左)、玉山銀行資安長劉懷聰(中)及合勤投資控股資安長游政卿(右)於會中進行精采座談。
資安可支持公司業務發展
玉山銀行資安長劉懷聰,則用「道德矩陣」解釋資安的重要。道德矩陣分四區,左上角「策略區」是利他也利己,右上角結構區,是利他不利己。左下與右下區分別為選擇區,為討好社會大眾作法所以去做,以及遵從區,也就是不得不做的部分。
他說,從企業社會責任角度來說,要從利人的機會中找尋利己機會,資安重點是要安全支持公司業務發展,只要對公司優化有幫助,就要幫助公司找到一條安全的路。當出現兩個對立的想法時,身為決策者需具有同時掌握兩者的能力,創造出比兩個對立選項更優越的政策。
合勤投資控股資安長游政卿分享說明,好的資安主管是要能將高層的策略跟價值轉換成資安,促成同儕之間合作,培養業務盟友,與部屬也要做好指導與培訓,讓資安成為業務談判、商務競爭時最強大的優勢。
至於與會者關注的供應鏈安全議題,游政卿表示對他們而言,是希望讓供應鏈上、下游透過彰顯對產品安全的重視與制度規範,讓供應鏈商覺得他們值得合作。
