主動勝於被動，從近期的勒索軟體反思企業資安結構 ，「雲端化」之必要性

　　WannaCry勒索病毒猖獗侵襲全球150個國家，造成個人與公司行號超過二十萬的受害者、先前Target、索尼以及摩根大通等知名企業遭受駭客入侵導致大量顧客資料外洩的事件。資安事件的層出不窮，已經成為企業必須面對的課題之一。雖然大部分的公司重視網絡安全，但是對於網路攻擊只能採取被動式的防護。

　　回到台灣，多數企業對於資訊安全防範措施仍嫌薄弱，尤其是中小企業，相較於國內大型企業而言，缺乏完善的資訊專業團隊與持續更新版本的作業系統，許多的中小企業使用盜版軟體或是過於老舊的系統，更致命的是對資安的一知半解。

　　但是台灣位於重要的地理戰略與經濟位置，是駭客覬覦的目標之一。根據國內知名資安廠商統計，光是2015年就已經超過5成以上的台灣企業遭受到網路攻擊，所以如何加強資訊防護的能力對企業而言是一個重要的課題。

　　本篇將以此為切入點，探討如何建立正確資安觀念與導入雲端服務，有效增進企業資訊安全。

1. 最好的防禦就是分析

在傳統網絡安全的架構下，企業多半使用內部的 IT系統偵測預防外部的入侵來防護企業內部網絡，這種過於被動的防護型態間接導致了駭客攻擊的猖獗。

然而，目前主流的雲端服務像是Google Cloud Platform、Amazon Web Service和Microsoft Azure等，除了提供基本資料保存維護的功能之外，也包含分析的功能。當疑似網路攻擊發生時，雲端系統會融合攻擊模組進入其分析平台進行整體結構的安全資訊分析，在此同時，任何的攻擊程式與其數據會立刻轉移到一個全新駭客無法操控的網絡中，進而將威脅降至最低。

藉由分析的功能，企業可以確認是何種的攻擊模式，並指出可能是哪一種型態的駭客所為。另外，相較於企業系統的結構不成熟，或是過於複雜，雲端服務的單純結構也幫助減少資安漏洞的產生。

由於雲端服務提供者已經建立完整的雲端架構、硬體、軟體，以及相關服務，企業便可將資料儲存、防護、維護等工作全部交由雲端公司，有了完善的依靠，企業便可將心力專注到未來的商業發展目標上。

2. 導入雲端資安的前置作業

當企業打算將其資料轉移到雲端時，多半會將最有價值的資料保留在公司系統內，然而這些資料往往都是最需要保護的，如此一來，便喪失了藉由雲端服務提升資安的意義。

如何在轉移前做好準備來更有效，並放心地將內部資料與雲端整合是有難度的。首先最重要的是重新檢視公司內外的結構運作，瞭解有哪些關鍵人員的資料，例如客戶或是顧客的敏感資訊是必須去保護的。

藉由上述的檢視，企業可以設立起初期網路攻擊的指標資訊與藍圖，再者，也可以更深入了解與企業網絡互動的人員資訊（顧客，夥伴亦或是供應商等），並將其與資安系統做結合以便與駭客等攻擊者做清楚的分野。

當資料轉移後，再搭配雲端服務本身的分析系統，更進一步地即時並同時監控顧客、員工以及入侵者的網路行動。藉由如此，企業便可規劃出清晰的網路系統路徑圖，利於監控系統與外部的互動。

3. 資安雲端轉移的陣痛調適

當前線作業規劃完善後，企業必須了解將資訊安全雲端化不僅僅是加強了公司的科技技術能力更是增加了商業競爭優勢。事實上，監控、保護、追蹤，並確認客戶的資料安全性，是企業責無旁貸的義務，更是衡量其能力的標準之一。

但是遷移資料到雲端對於公司來說是一項重要的投資，並也會某種程度的改變公司的架構與使用資訊的習慣，因此，設立初期雲端測試是必要的，一開始可以利用較不敏感的數據資料集或是程式來測試，進而明白有哪些資訊是需要轉移的，在新的雲端平台上使用是否流暢，以及資料與雲端系統是否整合順利。

更重要的是，在每一個關鍵的使用階段建立商業論證（Business Case），以便進一步估算其成本效益來計算雲端系統的轉移對與整體公司的預算管理會有如何的影響。

　　隨著雲端技術與服務的日益成熟，越來越多國際企業利用「雲端資安系統」強化其企業競爭力。相較於此，國內企業普遍對於雲端資安導入仍在起步期，過期或盜版微軟系統的氾濫，讓企業不時要面臨像WannaCry這類惡意程式的騷擾，管理者們不妨也嘗試從「重要資訊雲端化」開始著手，強化資訊安全的企業職能，有效提升顧客信任與自身競爭力。

【參考資料】

• David Burg and Tom Archer，Safety in the Cloud（strategy＋business，March 8, 2016）