包括富邦金控副总经理李相臣、星展银行金融犯罪防治调查暨企业安全部资深副总裁徐子文,以及联发科IT本部协理刘锡麟参加iThome「台湾资安大会CISO论坛」时都有共识,要彻底落实人员、流程和技术规範,资安才是玩真的。
图片来源:iThome
资安很重要,对许多企业资安人员和主管而言,到底应该要怎幺做才能真正做好资安,一直是非常困扰的事情。但是,对于富邦金控副总经理李相臣、星展银行金融犯罪防治调查暨企业安全部资深副总裁徐子文,以及联发科IT本部协理刘锡麟而言,「资安要做好,就一定要玩真的。」
iThome电脑报日前举办第三届台湾资安大会,也加开一场针对台湾资讯和资安主管的封闭式「台湾资安大会CISO论坛」,邀请李相臣、徐子文和刘锡麟到场座谈。面对越来越複杂的网路攻击,越来越严格的法规遵循要求,甚至越来越难做到的资安防御,企业或政府的资安人员也越来越不知道,到底应该怎幺做,才能够真正把资安这件事情做好。
不论是富邦金控、星展银行甚至是联发科这三间公司,彼此之间的产业型态、规模甚至是营运模式,或许都有所差异,但要做好资安的背后,三家企业其实都有共通的準则,那就是,务必要落实所有对于人员(People)、流程(Process)和技术(Technology)的资安规定,就是资安玩真的证明。
这对很多资安人员虽然都是老生常谈,但是,做好资安的秘诀无他,只要可以真正的落实资安政策和作为,企业都能严正看待资安这件事情,就是企业能够做好资安的关键。
人员:态度要积极,千万不能怠惰
企业到底能把资安做到多好的关键,李相臣认为,资安人员的态度是非常重要的参考指标,只有资安人员够重视、够在乎,他们才愿意主动去了解现在到底有哪些资安威胁,主动掌握资安趋势,甚至于愿意主动学习各种相关的技能。「企业如果没有在意资安的资安人员,侈言资安对企业到底有多重要。」他说,车子开久会有毛病要保养,系统软硬体用久也得做修补,没有滴水不漏的资安防护,因此,资安人员态度也决定企业怎幺看待,大到资安政策落实,小到系统漏洞修补的执行程度。
除了有态度,刘锡麟认为,资安人员所展现的工作效率也很重要。他也坦言,联发科每天要收集的Log种类就超过一千种以上,从早上上班到远端连线,甚至是出差等等,每一个环境都要留存不同的Log。
除了要设法利用系统取代IT人员看Log外,他表示,企业更大的挑战在于,资安人员经手的每一件事情是否做到确实?是否有所怠惰?毕竟,资安人员的一个疏漏,都可能造成公司智慧财产权外洩或影响公司营运,资安人员在执行每一个环节和流程,是否可以真正掌握工作细节就很重要。
「企业对资安人员的要求必须更严格,不要让无法负责、怠惰型态的资安人员在资安团队里面。」刘锡麟说,每一个资安细节一定要检视,如果过了一个月后才发现很多细节疏漏,中间空窗期可能会出现很多资安事件,也因此,资安人员不能自满,因为对细节的要求永远都不够。
台湾人工作努力也很聪明,但是「管理」一直都落于人后,以星展银行而言,徐子文表示,新加坡9成是华人,他们可以做好资安就是因为「玩真的」,规定其实和其他公司都一样,但是却可以因为公司的超级业务违反公司的资安準则,狠下心直接开除就是证明。
他也认为,负责安全的主管也必须非常有耐性,要能够不厌其烦的把公司的资安政策和作法,一而再、再而三的重複讲清楚,只要是重要的事情,不管是30次还是300次都要说,并且对于对的事情要一以贯之,讲久大家才会当真。就像在军舰上的指挥官一样,唯一的武器就是麦克风,相信每个人会把自己的分内事情做好,他就负责下达「正确的指令」,这就是资安主管的责任。
流程:从每起资安事件学习资安因应流程
刘锡麟认为,台湾企业很幸运,有很多专业的资安公司可以引进欧美日韩等最新的资安技术和标準,让各个公司在资安、风险、政策、控管和系统建置上,都有基本的运作水準,但是,联发科更在意的其实就是如何在流程上彻底落实,避免一个疏忽、一个缓慢,就会产生资安风险。
他进一步解释,联发科一年有15~25个研发晶片开发,由坐落在英国、芬兰、印度、新加坡、美国和中国等全球27个研发中心合作开发完成,并可以顺利将测试完毕的产品回传台湾,在这个研发流程如果有任何风险,就会严重影响公司营运。
所以,联发科在每一座研发中心都是先定义出不同层级的风险,不论是资料交换或者是软硬体产品的验证等,每一个流程都必须经过严格的授权程序才能执行,而每一个定义出来的流程,就会搭配适当的管控机制和Log蒐集。
刘锡麟表示,当公司知道风险在哪里,知道有哪些控制项目时,落实每一个流程控管就是企业落实资安的管控措施。不过,他也提醒,企业经常面临流程调整,每个企业至少6个月就应该要因应流程的调整,重新检视控制项目和细节是否有随之调整的必要性。
因为没有百分之百的资安防御措施,不论怎幺防,都还是会有风险产生,也可能发生资安事件。所以,徐子文指出,好的资安控管流程不是只有具备防御能力,更重要的是,要有解决并处理资安事件的能力。
像是主管机关往往会惩罚主动揭露资安事件的业者,甚至认为一年都没有爆发任何一起资安事件的企业才是模範企业,徐子文就认为,主管机关不应该处罚有能力发现问题的企业和资安人员,更重要的是,是否可以从这个资安事件的流程中,学习到事情怎幺发生,并且知道事情该怎幺解决。
他说:「如果企业可以从发生的这起资安事件,学习到攻击手法并且知道如何因应解决之道,所有付出的成本就不会是浪费,就会是企业提升资安应变能力的学费。」而对星展银行而言,因为有一个独立的调查单位,就可以想尽各种方式起诉捉到的坏人。
徐子文表示,企业尽可能提供所有可以找到的犯罪资讯,提供给检警调等具有公权力的单位侦办,因为抓到坏人就是恶意各种网路犯罪最好的工具,而搭配起诉的手段,就可以进一步从检警调单位中,了解并掌握真实的犯罪手法,就可以进一步可以回馈到企业内部的防範流程。他认为,这样的流程就会成为一个正向循环,对企业资安也有正面帮助。
技术:大胆设黑名单,防範不必要的资安威胁
从网路犯罪观点来看,李相臣表示,最早的资安事件只是电脑病毒破坏电脑程式或磁碟,到后来有木马程式偷资料,或者是骇客利用DDoS攻击手法瘫痪网路服务,近期热门的则是会加密使用者电脑的勒索软体。这些网路犯罪技术都显而易见,但他认为,最麻烦的就是骇客入侵系统却只偷一笔或特定人的资料,这种针对性攻击的手法,往往很难被发现。
因此,要如何有效的防範这些资安事件,李相臣认为,重点在于要让「坏人进得来、出不去。」也就是说,当骇客入侵企业内部时,必须透过各种纵深防御的方式,阻断骇客由内而外的通讯联繫,也因此,他也特别关注内部员工所使用的电脑安全,并且要减少员工不安全的上网行为,提高企业的网路和电脑的安全性。他也建议,因为许多垃圾邮件隐含很多珍贵资讯,企业资安人员其实可以在第一层,就侦测到有哪些病毒、锁定哪些目标,提早预警。再者,李相臣建议,企业应该要留意有哪些心怀不轨的骇客和手法,如果有人不停的扫描自家企业的IP时,「大胆设黑名单」也是一种好的资安因应策略。
刘锡麟则以自身经验建议,企业建置的系统一定要定期强化,可以适时引进外部的专家协助企业补强系统安全性,6个月一次的强化检视措施,都有助于企业维持一定的资安技术强度。
iThome Security
I 相关 / Other
中新网3月16日电一年一度的消费者权益日到来,北京电视台3.15晚会现场各界名人云集,春妮、曹一楠、徐云龙、赵宏博等到场参与节目互动,共同说诚信、推行诚信风尚。与名人们并重的是此次晚会的科技元素,本次3.15晚会
Alexa应用开发人员独享,每月100美元AWS免费代管额度
示意图,与新闻事件无关。 图片来源: Amazon 为了鼓励开发人员打造Alexa功能,Amazon周三(3/15)宣布将提供每月100美元的AWS(Amazon Web Services)免费额度予Alexa Skills开发人员,若因Alexa Skills招致额外的
Matzka首登“美国南方音乐节”险遭安检人员带小房间搜身!
雷鬼唱作人Matzka日前抵达美国德州奥斯丁参与“SXSW美国南方音乐节”,于当地时间3/14晚间9点登台演出。Matzka顶着招牌雷鬼头威风十足,盘起来造型前卫,不过他抵达美国入境时,机场安检人员却对着他扳起脸孔、戴起手
经料理过的蔬菜冷藏些许时日后就会变黑黄,不过台湾的冷冻技术却能使料理过的蔬菜,经冷冻数月后解冻再享用,仍可尝到菜肴的美好风味。年度南加州亚州美食展今天在洛杉矶揭幕,今年展览的主题是“化冷冻为新鲜”,介
外媒热议中国极客“女神” 最性感黑客私照曝光 鼓励女性从事技术工作
外媒热议中国极客“女神”,对于大多数女生来说无论是计算机、编程还是黑客都离自己的世界很遥远,大多数女生只会玩玩手机、电脑,要是不小心中毒了,就该求助广大的男性技术宅了。但最近国外知名的科技媒体就发出了