網路犯罪活動不斷攀升,根據《思科2018年度網路安全報告》指出,許多駭客和國家級惡意行動者,均已具備必要的專門知識和工具,足以摧毀關鍵基礎架構和系統,進而讓整個區域的網路安全大受打擊。
如果可以確保對安全性的要求已經深入組織的各個層面,而不只是亡羊補牢,便能提升成功管理此三領域的可能性。組織必須避免只依靠產品或技術改進來修正安全性問題。為了讓產品成功,組織必須瞭解並實施該技術的合理政策及程序(圖7)。
|
▲圖7 攻擊模擬所發現未涵蓋的問題類型,依修復要求排列。 |
投資技術和訓練
顯然地,組織未來面對的挑戰仍然複雜且充滿挑戰。圖謀不軌的人會繼續開發更精密、更具破壞性的網路入侵方法。而現代的工作場所創造了有利攻擊者的條件:員工行動辦公、採用IoT裝置皆提供攻擊者嶄新的機會。隨著威脅增加,許多資安專業人員預期他們將面臨來自立法者、高階主管、利害關係人、合作夥伴和顧客的更多監督。
為了減少可能的風險和損失,防禦者必須決定將有限資源投注何處。大多數的安全性專業人員表示,安全性預算仍然相對穩定,除非有大規模的公開缺口使得人們重新思考技術和程序並投入新的開支。51%的資安專業人員表示,所屬組織的安全性支出依據前一年度的預算制定。另外一半的受訪者則表示預算由結果目標決定(圖8)。大多數資安主管表示,他們相信所屬公司針對安全性進行了適當的投資。
|
▲ 圖8 51%的資安專業人員表示,安全性支出是根據前幾年度的預算決定。 |
規劃預算時,許多公司系統化地制定願望清單作為全方位安全性規劃的一部分,以此安排有可用資源時的投資優先順序。如果因為內部事件、廣為人知的公開缺口或例行性第三方風險評估而發現新的漏洞,可能會重新安排投資。
最能夠增加未來投資金額、改進技術及程序的要素,便是資安缺口。2017年,41%的資安專業人員表示,安全性技術及解決方案的投資因為資安缺口而提升,2016年則為37%(圖9)。40%的受訪者表示,訓練資安人員的投資因為資安缺口而增加,2016年則為37%。
|
▲圖9 安全性入侵正導致技術與訓練投資金額的增加。 |
資安專業人員希望將更多預算投入使用人工智慧與機械學習的工具,以便改進防禦能力,並協助分擔工作量。此外,他們計畫投資為關鍵系統提供保護的工具,例如關鍵基礎設施服務。
為了增加資源和鞏固防禦,組織正在增加對外包服務的依賴。49%的資安專業人員表示他們在2017年將監控服務外包,2015年則是44%。47%的受訪者在2017年將事件回應外包,2015年則是42%(圖10)。
|
▲圖10 監控與事件回應的外包比例逐年升高。 |
結語
強化資安策略並遵循共同的最佳做法,可以減少暴露於新興風險之中、延緩攻擊者的進度,以及更清楚掌握威脅態勢。
他們應考慮以下幾點:
‧實作可擴充的一線防禦工具,例如雲端安全平台。
‧確保遵守公司政策以及應用程式、系統和設備修補作業的做法。
‧利用網路分割來減少暴露在爆發的威脅當中。
‧採用新世代端點過程監視工具。
‧使用及時而準確的威脅情報資料和程序,使這些資料能夠納入資安監測與事件回應。
‧執行更深入和更進階的分析。
‧檢查和實施資安回應程序。
‧經常備份資料和測試還原程序--網路世界瞬息萬變,還有網路型勒索蠕蟲和破壞性網路武器橫行肆虐,這個程序可謂至關重要。
‧審查第三方資安技術的效能測試,以協助降低供應鏈受到攻擊的風險。
‧對微服務、雲端服務和應用程式管理系統進行安全性掃描。
‧審查安全系統、探索安全通訊端層(SSL)分析的使用,以及SSL解密(如果可能的話)。
防禦者還應考慮採用包括機器學習和人工智慧功能在內的進階資安技術。由於惡意軟體會將其通訊隱藏在加密的網路流量中,且惡意的內部人員會透過公司雲端系統來傳送敏感資料,因此資安團隊需要有效的工具來防止或偵測加密功能的使用情形,以防止該功能被用來隱藏惡意活動。
<本文作者:馮志良,現為思科台灣技術長,曾在思科總部服務超過10年,替各種不同業務單位的工程研發部門效力。此外,也曾帶領進階服務組織的技術工程團隊,為跨國企業客戶執行各項客戶活動。擁有超過20年科技業界的經驗,且取得兩項路由、交換和資安領域的CCIE認證。>