公務機密宣導─血的教訓(下) 國內重大資安事件十大啟示

:::
資料來源:資安人 https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=8515
作者:侍家驊 -2017 / 10 / 11

資產風險評估應以資訊流為依據、現有資訊基礎架構,擋不住網際威脅、網路縱深防禦不足、無法掌握所掌管的資訊環境、小心謹慎使用特權帳號,接下來我們將持續分想另外五個啟示。 

啟示六、空有ISMS系統,未切實落實 
通過資訊安全管理系統 ISMS(Information Security Management System)的單位,最常見的就是管理與實際執行有落差。稽核來了,只要四階文件準備好,大家都沒事。但實務上,未必都切實如文件般的落實。例如有個案例,規劃了一個測試區可以連OA區,當時只開放三天滿足測試需求,但直到系統上線之後仍沒有取消這個連線。另外一個案例,機房通過ISMS,五年來policy沒進行過任何修正,這又如何能面對現今快速變化的網路威脅呢? 

ISMS的精神是預防,避免資安事件的發生,企業會將大部分資源投入預防及偵測。但面對新型態威脅除了預防偵測外,還需有偵測機制、事件應變處理(response)、系統回復(recovery),進而再反饋修正防禦策略。企業主關注的是開門做生意,重視系統可用性,但是一旦系統安全性沒有優先考量,其可用性一樣也搖搖欲墜。 

啟示七、人員資安認知程度不足,對資安工作支持度低 
政府一般人員的資安認知,經過長時間的訓練與要求,普遍上比起金融業、高科技業要好一些。高科技業的研發人員,較難要求與配合,認為IT相關技術我都懂,不需管東管西,造成不方便,甚至自己找方式迴避被管,即使出事了,第三方服務公司也很困難獲得應有的協助。然而,金融業則是職責分工太細,跨部門溝通困難,對於訂定任何政策,只要違背既有習慣與流程,常常表現出的態度就是抗拒。 

啟示八、資源投入不足、資安決策層級太低 
金融業有金管會要求、有相關標準要遵循,通常費用上較願意投入。相對來說,政府及高科技,投入資源就遠遠不足。預算不足更不必談縱深防禦、難買應該有的服務。在高科技領域,常常就是一位科長、課長負責,層級太低就很難爭取資源預算、無法直接與決策層對話、無法跨部門推動政策及規範。 

前幾項問題的根結,源自資源不足,人力不足導致無法一一落實,該注意、該遵循的動作;經費不足就無法部署有效的防禦機制。同時,沒有高層的支持,資安政策也無法推動。 

啟示九、管理者、資訊、資安人員,對網路威脅認知落後 
目前管理層普遍對網際威脅無感,除此之外,即使是IT或資安人員對網路威脅認知仍舊不足,還認為有防火牆, IPS就可擋,以為有SPAM filter就可擋APT mail攻擊。對威脅體認不足,當然就不會認真對待。 

啟示十、無事件處理計畫,事件發生時不知所措 
金融業因為被主管機關要求,雖然有營運持續管理(Business Continuity Management)演練,但網路攻擊方面大多未演練過。面對網際威脅,如果沒有事先準備基本應對計畫,一但出事,誰來當總協調人?哪些系統要馬上保住、馬上止血? 該找哪家資安公司來協助? 如果這些都沒有事先設想好,萬一事件一發生,勢必又急又亂,損害只會更加擴大。 

這牽涉到花費多長時間解決,是三天、一周、三周、還是更久,時間越長傷害越大。事件處理應該企業自己來主導,因為最快、最容易掌握跨部門溝通、最了解實際業務需求及關鍵處。企業建立基礎能量,更專業的部分則可以委託專業廠商的服務。 

結語 
發生資安事件,通常都不是單一原因,而是多方原因都出錯。任何組織無論在技術、管理、人員,只要有缺陷,早晚都會被攻入。面對網際威脅,那是與駭客比速度。駭客的每個攻擊步驟,跨網域、跨電腦都需要時間,越早發現問題,就可以爭取時效延緩入侵程度,越早發現就能越早阻絕。 

面對現今險峻的網際威脅,企業及組織只有一個選項 - 『何時被攻破? 』。新的認知將是,我們多快可察覺異常? 多快解決問題、馬上止血? 多快能改善現有環境? 持續改善防禦的動能有多高? 

以往我們一直強調的重點: 老闆要更重視安全且將資安治理視為職責、有專職人員看資安管理、看技術、稽核人員專職素養的加強、抗拒資安政策相關人員資安認知的提升、以及培養外部專業資安技術團隊。 

這項變革的層面太寬廣,需要主管機關、企業主或單位主管、資訊人員、資安人員、資安服務業,大家一起努力。這很難,但只要我們願意踏出第一步,就有改變的希望!
瀏覽人次:3160 最後更新日期:2020-05-28