【文/葉榮宏 圖片提供/達志影像】
在科技飛速發展的當今社會,資訊安全已成不容忽視的重要議題。面對日益險峻的資安風暴,不單是技術性的考驗,更牽涉組織文化、政策和教育等多層面因素。企業必須全面考慮硬體和軟體的防範措施、從全球重要資安事件中因應攻擊層次不斷提昇的挑戰。同時,社會教育與觀念的轉變,也是應對資安威脅不可或缺的一環。
資訊安全涉及保護資訊免受未經授權的存取、使用、揭露、變更、破壞或擷取,確保資訊的機密性、完整性和可用性,領域涵蓋廣泛且動態,不僅應對特定的攻擊方式,更是一種全面性的思維方式。
在硬體層面,企業應當採取嚴謹的網路安全措施,包括使用防火牆、入侵檢測系統(IDS)和入侵防禦系統(IPS)等,以監控和防止不正當的網路活動。此外,物理安全也是至關重要的一環,控制機房和伺服器房的存取,並利用生物辨識或卡鎖等身分驗證機制,以確保實體設備的安全性。
軟體層面,企業應實施定期的軟體更新,包括作業系統、應用程式和安全軟體,以修補已知漏洞。強化身分認證是另一個不可忽視的方面,多重身分驗證(MFA)和強密碼政策能有效減少未經授權的存取。同時,對敏感數據進行加密,是確保資訊安全的重要手段,即便數據被盜取,也難以解讀,進一步提昇資訊的保密性。
全球資安風險評估
台灣為網路攻擊重點對象
提供資安解決方案的Check Point公司,在對全球資安風險評估和觀察的報告中,其一報告揭露全球遭受攻擊的頻率,當中並以台灣與全球進行比較(請見下圖)。
能力雜誌編輯部製圖 資料來源:Check Point
自2022年8月至2023年2月,6個月內的期間統計,全球每個組織每一周遭受網路駭客攻擊次數約1,181次,與之相比的台灣卻高達3,205次,受攻擊幅度是驚人的2.7倍,報告中也指出台灣最容易遭受網路攻擊的前5大產業,分別為:教育研究單位、金融機構、製造業、政府(軍事單位)、交通運輸單位。
圖說:台灣乃至東南亞已成為駭客網路攻擊的重點對象,在日益嚴峻的環境下,關於資安的學習已是刻不容緩。
從這報告內容,可分析出台灣乃至東南亞,都已成為駭客進行網路攻擊的重點對象,台灣在日益嚴峻的環境下,許多關於資安的學習已是刻不容緩,包括:強化資安防範,如提昇大眾資安意識、建立完備資安政策、強化網路和終端設備安全、推動加密技術、建立應急應變計畫、加強第三方風險管理、合規性遵從、定期監控和風險評估,以及不斷更新資安技術等,全面提昇防護力。
OT產業的資安風險
網路攻擊已不限於資訊科技(Information Technology, IT),駭客也將攻擊目標對準製造業的操作技術(Operational Technology, OT),在不同產業發生的網路攻擊,資安防禦方面,因而不能一併概論處置,其中還是存在一些的區別。關於OT產業,主要涉及工業控制系統(Industrial Control System, ICS)和操作技術,用於監控和控制工業過程,如:製造、能源、交通和公共設施等領域。相比之下,IT產業涉及資訊處理和數據傳輸等領域。由於OT環境的特殊性,需針對不同的威脅和環境,採取相應的防禦措施。
隨著技術的發展和數位轉型的推進,OT和IT產業的資安防禦將繼續演進。組織應該保持警覺,密切關注新興的資安威脅和技術趨勢,並不斷改進其資安防禦策略,以確保系統和資訊的安全性和可靠性。
|
應對資安風暴,以弱點掃描、修補機制、滲透測試,共同形成一個強大的安全保護環。 |
開放性 × 連通性
網路威脅的複雜與挑戰
在網路攻擊的背後,貫穿這一切的主要根源之一,是網路結構的開放性,隨著網路技術不斷進步,網路系統變得越來越複雜,此複雜性使得安全性的管理變得更加困難。全球性的連通性,也為網路攻擊提供了廣泛的攻擊面。跨越地域和國界的網路連通性,讓攻擊者能從任何地方進行攻擊,使得網路威脅變得更加複雜和具挑戰性。這種全球性的攻擊,將可能對政府、企業和個人,造成嚴重損害。
要在當前網路攻擊橫行的世代做好防禦,資安治理的觀念應該就需要深入各企業的角落,在過去的幾年間,台灣企業,包括民營和公營事業,普遍對資訊安全治理日趨重視。隨著數位化程度的提昇,企業面臨更多複雜和先進的資安威脅,加強資安措施,已成為保護業務運作和敏感資訊的迫切需求。
- 在企業方面
顯著增加對資安技術的投資,防火牆、WAF、入侵檢測系統、加密技術等,成為企業常見的基本資安措施。此外,雲端運算的普及,也使企業更加重視如何確保雲端數據的安全性,以因應業務的數位轉型需求。
- 在知識的傳遞上
內部資訊安全教育和培訓也成為企業的重要環節。企業意識到員工是資安的第一道防線,積極強化員工的資安意識和知識,以降低社交工程攻擊和內部威脅的風險。透過培訓,員工能夠更好地辨識釣魚郵件、強化密碼使用,並了解適當的資安實務。
- 在公營事業方面
台灣政府為強化對資訊安全的監管和要求,推動《資訊安全管理法》等法規,規範組織必須建立完善的資訊安全管理體系,保護敏感資訊和個人隱私。政府的推動,促使公共機關更加注重資安,樹立企業資安的典範。
- 合規性也成為企業加強資訊安全的一個重要動因
許多行業有自身的合規標準,企業需要符合這些標準,以確保業務運作合法、安全。這使得企業更注重建立健全的資訊安全政策、程序和機制。
美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)的資訊安全框架(Cybersecurity Framework)是一個由美國政府發起的資訊安全指南,於2014年首次發佈,針對組織強化資訊安全防禦和應變能力提供了一套架構。(如下圖)
|
隨著科技的不斷發展,威脅也在不斷演進,企業需要保持敏感,不斷升級技術,建立完善的應急應變計畫,以應對新興的威脅。 |
該框架的主要目標是協助組織評估和改善其資訊安全風險管理過程,主要包含以下核心功能領域:識別(Identify)、保護(Protect)、檢測(Detect)、回應(Respond)及復原(Recover)。在新版本中也將「治理功能」(Govern)新增成為第6項功能。
資安治理是組織內對資訊安全的整體管理體系,隨著科技不斷發展和環境變遷,其發展性日益突顯,資安治理在法規合規方面也呈現出日趨重要的趨勢。隨著數據隱私和資訊安全法規的不斷推陳出新,組織必須遵從更加嚴格的合規要求。
因此,資安治理應該持續強化與法規的對應,確保組織的資訊安全政策與法令一致,以減少法律風險,也應著重整合各項資安相關措施,像是企業使用的眾多技術、工具和平台,資安治理應該能夠整合這些不同元件,確保它們協同作用,形成更具整體性的資安防禦體系。此外,資安治理同時應與業務策略緊密結合。資安不再僅僅是IT部門的事務,而是全組織的事務。資安治理需與業務目標相一致,並以支持業務發展為目標,進而成為業務的推動力。
企業資安架構自我掃描
弱點掃描及漏洞修補
在全球企業的資訊安全防範體系中,「弱點掃描」、「修補機制」以及「滲透測試」共同形成一個強大的安全保護環。弱點掃描工具的使用,依舊是首要步驟,透過以自動化方式檢測系統和應用程式中的已知漏洞。這些掃描結果為企業提供一個全面的安全狀態概覽,當發現弱點後,企業不僅僅依賴於自動修補機制,更注重資訊安全團隊的介入。團隊藉由分析掃描結果,確定修補優先順序,並針對系統配置進行調整,從而降低潛在風險。這個過程需要持續地努力和關注,以確保系統長期處於一個最新且安全的狀態。
在弱點掃描和修補的基礎上,企業逐漸重視滲透測試或紅藍演練。這是一個更深層次的測試,模擬真實攻擊環境,評估系統對於潛在攻擊的防禦能力,滲透測試的進行,讓企業更好地了解其系統的真實安全狀態,發現可能被忽視的弱點,並提供改進安全措施的實際建議。
此外,資訊安全防範不再僅限於內部努力,企業通常與外部合作夥伴,如專業的安全服務供應商,進行滲透測試和弱點分析,這種協作不僅擴展了企業的專業知識範疇,還提供了全球化視角,幫助企業應對來自不同地區的威脅。
結合以上,弱點掃描、修補機制和滲透測試共同構成了一個多層次的資訊安全保護策略。透過這種整合的方法,企業能夠更全面、更迅速地應對不斷演進的威脅,確保其資訊系統在數位環境中的強固防禦。
|
資安政策應明確界定使用權限,強化密碼管理,並建立有效的風險管理機制。 |
網路安全零信任轉型
打破傳統界線的未來
圖說:傳統的安全模型,通常依賴於防禦性的周邊安全,但零信任模型則基於一個基本原則:「永遠不信任,始終驗證」。在訪問資源或系統時,用戶和裝置都需要通過驗證,而不僅僅是在進入網路的邊界處進行驗證。
資安零信任架構(Zero Trust Architecture, ZTA)或零信任網路架構(Zero Trust Network Access, ZTNA)的發展概念,主要圍繞改變資訊安全的傳統觀念,從依賴單一防禦層面轉向在整個系統中實施多層次的驗證和控制。
資安零信任的概念,是一種安全觀念,它假設在網絡環境中,不應信任任何人或任何裝置,即使它們在組織的內部。
傳統的安全模型,通常依賴於防禦性的周邊安全,但零信任模型則基於一個基本原則:「永遠不信任,始終驗證」。這表示在訪問資源或系統時,用戶和裝置都需要通過驗證,而不僅僅是在進入網路的邊界處進行驗證。
零信任的概念,強調了安全性的分散性,不再將信任建立在單一的安全層上,而是在整個系統中實施多層次的驗證和控制。這種方法有助於減輕內部和外部威脅,並提高對潛在風險的感知。零信任模型通常涉及使用身分驗證、授權、加密和其他安全機制,以確保只有合法的用戶和裝置能夠訪問機密資源。
雖然 ZTA 和 ZTNA 已經取得顯著的成功,但其實踐和廣泛應用仍在不斷演進。未來,這些模型可能會整合人工智慧和機器學習技術,以提高對威脅的感知和預防能力。同時,由於資訊技術的快速發展,可以預期零信任模型將繼續演進,以應對不斷變化的網路安全挑戰。
全球疫情下
資訊安全挑戰與應對策略
隨著疫情帶來的遠距工作潮流,企業數位環境呈現複雜化,使得資安風險迅速升高。疫情期間,攻擊者利用遠程連接進行入侵的機會大幅增加,強調了對遠端工作環境的資安管理的迫切需求,促使企業在資安防禦方面更加積極,以尋求更為全面的資安解決方案。
同時,全球網路使用量激增,也令企業面臨更多網路管理、數據隱私保護等方面的挑戰。數位環境變得更加複雜,企業不得不提高對資訊安全的警覺,強化安全措施以應對分散式攻擊。這種環境的變化使得資安成為企業經營中的一個重要核心,推動企業更積極地因應資安挑戰,社交工程攻擊和釣魚攻擊的頻率明顯增加,攻擊者利用人們對疫情相關資訊的渴望進行詐騙。這種攻擊手法直接威脅到個人和企業的資訊安全,強調了對員工資訊安全教育和培訓的迫切需求。
總之,全球疫情下,企業面臨著資訊安全的多重挑戰。有效的應對策略包括加強對遠端工作環境的資安管理、完善安全措施以因應數位環境變複雜的挑戰、強化醫療和生物科技領域的資安保護,以及加強員工資訊安全教育。這些舉措共同構建了企業資安的堅固防線,確保企業在疫情衝擊下仍能保持穩健運營。
雲端資安防護性
企業數轉面臨的複雜挑戰
圖說:跨越地域和國界的網路連通性,讓攻擊者能從任何地方進行攻擊,使得網路威脅變得更加複雜和具挑戰性。物聯網的迅速擴張,也帶來了新的安全挑戰,大量連接的設備,成為潛在的攻擊入口,對基礎設施和個人隱私構成威脅。
雲端平台和資訊安全之間,存在緊密的關聯性,這種關聯性反映了現代企業在數位轉型中所面臨的複雜挑戰。雲端平台的普及為企業提供了更大的數據存儲和處理能力,同時也引發了對資訊安全的更加迫切的需求。以下將深入探討雲端平台與資訊安全之間的相互作用,以及這種關聯性對企業運營和數據管理的影響。
雲端平台的使用,涉及大量數據的傳輸和存儲,這使得資訊的機密性和完整性變得更加複雜。企業需要確保在數據傳輸的過程中,數據不受未授權的訪問和篡改。因此,資訊安全解決方案,如加密技術和身分認證機制,成為保障雲端平台安全的不可或缺的一環。
如今的資通訊發展,可透過各項雲端服務,讓企業實現數據和應用的快速部署和擴展,並更好應對業務變化,然而,雲端平台的共享特性,也帶來了新的挑戰。多個用戶可能共享同一個基礎架構,這增加了潛在的攻擊面。在這種情況下,強大的權限管理和訪問控制,變得極為重要,確保每個用戶僅能訪問其授權的數據和資源。
綜上所述,雲端平台和資訊安全的關聯性,不僅體現在數據的安全性和隱私性上,更影響整個企業運營的安全性。有效的資訊安全措施需要與雲端平台的特性相結合,確保企業在數位時代能夠充分發揮雲端平台的優勢,同時保障資訊的完整性、機密性和可用性。這需要企業制定全面的資訊安全策略,不斷更新和改進,以適應不斷變化的威脅和技術環境。
資訊安全架構未來的困境
圖說:人工智慧和機器學習的蓬勃發展,攻擊者將更容易使用智慧工具發動複雜且難以檢測的攻擊。
|
企業應加強資安學習,提昇員工資安意識,防範社交工程和釣魚攻擊。 |
未來的資訊安全,將面臨著前所未有的挑戰,主要受到技術發展、全球環境變化和社會趨勢的交互影響。隨著人工智慧和機器學習的蓬勃發展,攻擊者將更容易使用智慧工具發動複雜且難以檢測的攻擊。這將需要全球範圍的合作,以應對這種新型的智慧攻擊。
物聯網的迅速擴張,也帶來了新的安全挑戰,大量連接的設備,成為潛在的攻擊入口,對基礎設施和個人隱私構成威脅。為解決這個問題,同樣需要全球合作和標準化,以確保物聯網的整體安全性。供應鏈攻擊的風險日益突出,也反映出全球供應鏈的複雜性,攻擊者可能透過滲透供應網路執行惡意操作,因此將迫切需要全球範圍的監控和協作,以確保供應鏈的穩定和可靠。
數據隱私和合規性將成為全球焦點,各國政府需要制定和調整法律法規,平衡數據的使用和個人隱私的保護。然而,全球面對資訊安全挑戰的同時,也面臨技術人才短缺的問題,培養更多資訊安全專業人才,也將成為重要課題。
總體而言,未來的資訊安全挑戰,不僅僅來自技術的發展,必須順應全球性的環境變化。為有效應對這些挑戰,全球社會需要建立更緊密的協作機制,推動技術創新,同時加強對資訊安全人才的培養和吸引,需要透過跨國各界的努力,確保未來的數位環境更加安全和可靠。
數位轉型趨勢下
企業的自我防護力
圖說:較大型或跨國企業已開始從內部培育專門資安人員,資安證照已成為企業培訓的重要元素之一,國際認可的資安證照,如CISSP、CEH,以及CompTIA Security+,已成員工展現專業技能的標誌,不僅強調對於理論知識的掌握,更注重實際應用和解決實際問題的能力。
在數位轉型的時代趨勢下,全球企業紛紛將資訊安全教育訓練,視為極為迫切的任務,以因應不斷演進的威脅環境。這項投資不僅集中於技術層面,更著重於員工資安意識和實戰技能的提昇,除了通用性的資安培訓,企業越來越傾向於打造符合特定業務需求的內部培訓課程。這種客製化的培訓將更能滿足企業獨有的風險和挑戰,確保員工能夠深入理解並應對實際情境,然而,僅有理論知識和通用培訓,已不足以因應現今複雜的資安環境。於是,企業開始強調模擬演習和實戰訓練,讓員工在虛擬環境中面對真實威脅,培養其迅速、有效應對的技能,技術創新也成為企業資安培訓的亮點。
虛擬實境(VR)和擴增實境(AR)技術的應用,使培訓更具互動性和真實感,能讓員工更好理解各種安全威脅,從而提高應變能力。目前在較大型或跨國企業,已開始編列預算,試圖從企業內部培育專門資安人員。資安證照已成為企業培訓的重要元素之一,國際認可的資安證照,如CISSP、CEH,以及CompTIA Security+,已成為員工展現專業技能的標誌。這不僅強調對於理論知識的掌握,更注重實際應用和解決實際問題的能力。
整體而言,在全球範圍內,企業正以更加綜合和創新的方式,進行資訊安全教育訓練,以建構更加堅固的防禦線,保護企業免受數位風險的侵害。(本文作者為財團法人中國生產力中心工程資訊技術組助理工程師)
【本文同時刊登於《能力雜誌》2024年1月號,非經同意不得轉載、刊登】