著眼於企業與組織長久以來建置許多防禦設備,仍無法避免被駭客滲透而發生重大資安事故,關貿網路於去年(2017)年底發布攜手法務部調查局、兆豐產險等合作夥伴共同打造的資安天網防禦服務(Skynet Defense Service),提供預警、防禦、監控、通報、應變、對策、分析、鑑識、保險,共九大功能項目的最佳建置案例,涵蓋事前防禦、事中調查、事後理賠,協助本土金融與企業有效地提高防護力。
關貿網路資安服務總監林恆生觀察,隨著資安事故持續不斷地發生,企業與組織對於資安防護除了管理面,更需要技術協助控管,才能夠達到預期設定的效果。畢竟技術只能達到單點強化,欲發揮實質效益,仍舊需要專屬資安人力執行控管。關貿網路的專業資安團隊,即可協助不同場域最大化利用現行資安設備,建立第一道防線,之後持續監控以免防線有所遺漏或不足,搭配近年來資安業界推廣的應變措施,如此反覆循環,藉此提升整體資安成熟度與落實風險控管。
在資安天網防禦服務項目中,較特別的是資安保險,是協同兆豐產險來提供。林恆生指出,其實資安險並非新觀念,只是近兩年全球接連發生資安重大事故,台灣也不例外,才開始受到企業與組織的關注。甚至主管機關,也有意提出正式要求,近來各單位已開始評估資安險,尤其是金融領域,投保的意願大增。
善用工具調整控管確保商業流程安全可控
|
▲關貿網路資安服務總監林恆生提醒,資安的根本在於風險管理,全面封鎖所有進出管道自然安全無虞,也確實是風險管理的做法之一,但是對於企業或組織而言,卻可能因此停滯不前,喪失競爭力。 |
早在十多年前,關貿網路透過內部建置SIEM平台,不僅提供SOC服務,同時要維運自家系統。在投入龐大預算與人力成本建置SIEM後,最擔心的莫過於內建辨識威脅的規則出現遺漏或誤判,因此持續不斷地在改善,以降低誤報、提升有效性。
「若收到告警資訊是攻擊已遭攔阻,不需要執行後續處置行動,對IT管理者而言該通報將不具意義。監控的指標必須要很明確地從情境、風險的角度來設計,讓撰寫的規則具備目的性與明確的行動任務,也就是在告警被觸發時有所應變。」林恆生說。
例如使用者終端電腦安裝防毒軟體,偵測到惡意程式當下予以攔阻與刪除,監控規則只是描述該事件處置方式。若是監控中心發現辦公區域出現駭客工具,則必須發出通報,儘管在偵測發現時就已經予以刪除,通報的目的是讓IT管理者進一步調查,釐清究竟是否有駭客已滲透入侵成功的漏洞。畢竟從近年來發生的重大資安事故調查報告中可發現,攻擊活動行為通常會先控制辦公環境的電腦,再滲透到核心資產,面對類似的手法必須得謹慎因應。
過去企業的認知是每日攔阻攻擊威脅總數愈高,表示效果愈好,以實務上來看,每天幾十起告警,IT人員不僅應接不暇,深入調查後亦發現,大多是無意義的通知,因此對於資安監控服務或SIEM平台信任度反而降低。
「其實SIEM平台本就是輔助的工具,善加使用確實可發揮效果。可惜的是實際拜訪客戶時卻發現,企業與組織往往因為欠缺專業人力、管理高層未具備正確資安意識等因素,使得SIEM未達到預期效益。」林恆生說。
在企業與組織邁向數位化世代之際,資安不應該成為前進的阻礙,先掌握新型態應用可能帶來的風險,進而加以控制,防止營運中斷造成損失,才是資安的本質。對於專業資安人員而言,也是最大的挑戰,必須隨著商業模式的調整,建立不同控管措施,甚至不僅是單純阻擋或監控,透過應變對策的制定,協助組織在風險可控的前提下,推動新興業務。
聯手調查局追蹤國際駭客組織
資安天網防禦服務,相較於過去的資安服務究竟有何差異?林恆生說明,以往關貿網路比較著重在事前的監控與檢測,以及弱點掃描、滲透測試等服務,這類型服務項目很明確,客戶可直接點選需求採用。就實務面來看,客戶採用的資安服務大多僅為單點強化,而非依據內部工作流程規畫資安管理辦法與施行政策。
「關貿網路看重資安重要性與日俱增,希望攜手合作夥伴共同提升台灣資安產業能量,我們找了幾個合作夥伴,提供不同面向的資安服務。資安保險即為特點之一,讓客戶藉此增添最後一道風險控管措施。」
資安天網防禦服務項目中,最受關注的當屬鑑識,關貿網路是協同法務部調查局來提供,這種模式對於調查局本身而言亦是相當大的突破,為首次與民間單位合作。
|
▲關貿網路攜手法務部調查局、兆豐產險等合作夥伴共同打造的資安天網防禦服務,提供預警、防禦、監控、通報、應變、對策、分析、鑑識、保險,共九大功能項目的最佳建置案例。(資料來源:關貿網路) |
林恆生不諱言,公務單位成為聯防體系成員後,客戶可能反而擔心,原本可低調處置的資安事故,一旦公務單位參與,就不得不公開資訊。事實上關貿網路定位區分得很清楚,以往客戶遭受攻擊入侵時,到現場協助執行調查,任務是釐清駭客活動從開始進入到最後達成目標的行徑、利用的漏洞,以便有效地強化防禦力,避免再發生類似事件;如今受駭的企業針對事件調查結果,還希望進一步追蹤得知背後的操控者,究竟是誰竊取的資料,問題是,攻擊來源可能來自全球各地,欲達到有效追蹤,勢必需要公權力的調查權投入。
因此在執行鑑識服務之前,會先跟客戶溝通,畢竟民間企業多半不了解調查局運作方式,此時關貿網路可扮演溝通的橋樑。原本企業可能擔心調查局介入成為犯罪案件處理,萬一被媒體報導後事件曝光將造成商譽受損,然而理解之後相較,若追蹤到駭客組織後有機會追回被盜取的資料,反而可降低損害程度,企業往往可能仍會選擇讓犯罪立案,正式啟動調查。之後才會由關貿網路與調查局合作,讓資安事件真相得以完整的還原。