根據國際研究暨顧問機構顧能(Gartner)的調查,全球有48%的企業皆於2020年進行了「因疫而生」的數位轉型。然除了數位轉型之外,疫情也帶來一連串的蝴蝶效應,從許多城市的封城,供應鏈的中斷,人際關係的疏離,到導致商業詐騙郵件盛行、勒索軟體與勒贖金額再創高峰等國內外資訊安全重大事件。走過因疫而生的數位轉型,資訊安全的缺口必須快速補上,方能協助企業持續成長。
走過因疫而生的數位轉型,資訊安全的缺口必須快速補上,方能協助企業持續成長。在新的安全策略上,強化遠距工作資安、雲端安全合規與AI加持的整合式資訊安全平台是必須高度重視的議題。
安全趨勢2021
依稀記得2020年度十大笑話之一「誰是企業的數位轉型推手」,答案不是CEO,也不是CIO,而是COVID-19,雖調侃意味濃厚,卻也頗為寫實。根據國際研究暨顧問機構顧能(Gartner)的調查,全球有48%的企業皆於2020年進行了「因疫而生」的數位轉型。然除了數位轉型之外,疫情也帶來一連串的蝴蝶效應,從許多城市的封城,供應鏈的中斷,人際關係的疏離,到導致商業詐騙郵件盛行、勒索軟體與勒贖金額再創高峰等國內外資訊安全重大事件。
對許多資訊單位而言,由於此波轉型是非預期中的計畫,或許有些倉促上陣、思慮不周之處,然而遠距工作、雲端化、快速上線等模式已藉疫情得到了充分的測試與採用,長期趨勢業已成型。在此接近疫後新時代之際,正是資訊單位與安全單位得以緩口氣坐定並以宏觀角度檢視整體企業運營藍圖,進而擘畫新的資訊安全策略之最佳時機。此時,筆者建議以下三大資訊趨勢必須高度重視:
趨勢一:隨處運營,安全隨行
根據世界經濟論壇的調查,未來將有44%的白領公司將其員工轉為遠距工作。然而,遠端工作模式導致開放遠端連線進入企業核心系統,正是2020年資訊安全的最大疑慮。台塑、中油、Garmin、鴻海等大型組織均曾受到威脅勒索,其勒贖金額更高達10億元。這顯示的網路世界的資安議題已走入現實生活,不再只是竊取機密或個資等無形之議題。對付這樣跨虛擬與現實世界(Cyber Physical Space)的議題,大型企業需要一個資安長(CISO)來進行具高度、跨部門的溝通協調,研擬遠距使用族群、使用裝置與方式,並透過與業務模式、使用行為的結合,方能使資訊安全措施達成其應有的功效。
而在技術方面,傳統的遠端連線方式是以虛擬私人連線(VPN)建立加密通道,員工可透過虛擬加密通道進入企業辦公環境,即使網管人員大費周章進行網段區隔,惡意的遠端使用者還是相當容易橫向移動到不該存取的設備,這也是大多數勒索軟體滲透的根因。這時候可以思考導入新一代零信任網路(ZTNA),這樣的新式技術可以明確驗證使用者身分並只將其導向到特定目標設備,實現使用者最小權限存取,甚至也可以使非企業的裝置安全地連線至企業網路中工作必要的系統,應該是目前遠端工作的最適解決方案。
另外,為使企業主樂意讓更多類型的工作者實現遠距工作,工時監控接下來也會是一個重點功能,這部分可以透過商業系統存取紀錄、使用者軌跡甚至螢幕擷取等功能來達成,相信大家一定可以猜到這些功能的最佳的解決方案不須另尋,強化現行資訊安全監控系統功能與報表即可完成!
趨勢二:分散式雲端建立資料在地化合規基石
大型企業在多年的雲端導入試行後,漸漸理解混合雲為現行最理想的營運模式。國際數據資訊公司(IDC)預測90%的企業將採內部服務上私有雲、對外服務上公有雲的混合式雲端環境。在COVID-19期間,大家更發現在家即可方便地連結公有雲,不須採購設備即可快速啟用服務,一個意外的實驗大大加速雲端的導入。
另外,5G以及IoT的導入,使得邊緣運算(Edge Computing)成為顯學,在技術架構上,低延遲是服務能成功之必要條件,再加上地緣政治導致的資料在地化問題,使得資料中心必須在實體上盡量靠近Edge端點,這時公有雲可選用資料中心所在地的優勢就能徹底發揮效應。然而,是不是資料放在公有雲上就是安全的?當然,雲端業者的安全保護相較於一般企業是極為周全的,但不要忘了,99%的雲端安全疑慮均是導因於使用者,而非雲端業者!
所幸各大安全廠商已準備好相關軟體協助資訊人員妥善管理這部分疑慮。例如,雲端存取安全代理程式(CASB)可以解決過往雲端安全疑慮中最重要的安全存取問題,協助管理者設定並妥善管理組織中雲端資源的存取和安全性;而雲端安全狀態管理軟體(Cloud Security Posture Management,CSPM)可以自動化掃描檢查雲端應用服務的合規性,防止資訊管理人員操作失誤導致設定異常,並確保符合HIPAA、PCI-DSS等國際標準要求。除此之外,組織仍須建立一套雲端安全的管理流程,在人員認知與操作流程上亦須完備,方能使安全工具達到最高效用。
趨勢三:整合安全資訊、AI加持超自動化
隨著疫情帶來的新常態,超自動化亦將隨著更加熱門,畢竟人在工作場域中的大量群聚未來在任何風險評估框架中將不再視為必然。然而,資訊安全領域畢竟是門相對新興的科學,且須時時因應新的攻擊手法而調整偵測規則,不像一般企業運營流程已可大量流程化交由RPA運行。另外,前500大企業或許有能力自建安全維運中心(SOC),以7×24三班制監控安全狀態,並設置完善流程妥善處理安全威脅,然而這樣的大工程對一般企業恐為緣木求魚,就投資報酬率而言是不太可行的。
但建立一個整合式的安全偵測與回應平台終究是必然的趨勢。所幸業界對此已有新的對策,近年來推出擴充式偵測與回應系統(Extended Detection and Response,XDR)來協助資訊人員整合獨立的偵測工具(AV、EDR、HIDS、NIDS)與既有的防禦系統(Firewall、Security Gateways)等跨多種數據環境的資訊,經正規化與關聯分析,甚至再透過AI和機器學習以偵測精密且隱匿的新式攻擊手法,並輔以流程自動化來加快調查速度,可有效降低安全運營負擔。
不過不要忘了,所有的自動化在初期是必須耗費大量資源調校自動化規則的,一般而言,建議先做數個月以上的觀察再將新的安全規則設定為自動化是比較妥適的做法。另外,由於這樣的工具必須整合多種設備,導入後是否受制於特定廠家導致轉換困難,亦須於初期一併考量。
結語
在以上這些重點趨勢之外,別忘了檢視一下組織內的資訊安全基礎架構,特別是中小型的組織,必須先檢視端點的系統防護(上網管理、USB控管)、使用著權限(最高權限管制)、資安管理(軌跡管理、弱點管理)、資訊管制(機密分級、郵件安全)等最基礎的安全措施。還有,在家工作導致的人際關係疏離也促使商業電郵詐騙盛行,因此在公司電郵系統導入DMARC以減少偽冒寄件者亦是相當重要的。
總之,迎向疫後K型反轉的新經濟,預計受益於需求轉向與數位轉型的企業,例如金融、零售、石化、生技等產業,資訊預算將有2%~6%的增長,在這波浪頭上的資訊∕資安首長們,請記得把握機會,藉機改善組織的資安體質,協助企業迎向另一波新的高峰。