根據資訊安全品牌 Sophos 2020 年一份調查,2019 年有 51% 的公司遭受到資料攻擊;更有 73% 的公司資料被駭客加密後進一步威脅勒索。近年資安風險越來越多,除了不斷推陳出新的勒索軟體,駭客更透過釣魚網站、弱密碼暴力破解等方式,獲取珍貴的資訊。
突如其來的資安事件總是讓人措手不及,對於資安預防的概念,應該就像對抗疾病一樣預防勝於治療,平時就應該做好相關配套措施。尤其比起個人資料,企業資料的含金量更高,想像你是一名企業 MIS,主管交付給你的任務,是回頭審視企業的資訊安全架構是否足夠穩固時,你該從何開始做起呢?
Synology 建議,企業可以依據 NIST 的網路安全框架(Cybersecurity Framework,CSF),採取「辨識」、「保護」、「偵測」、「回應」、「復原」這五大步驟,為企業資安做把關。
第一步:辨識:掌握組織核心設備,進行風險評估與策略擬定
第一個步驟「辨識」,強調的是企業對於組織內部的資產是否具備足夠的了解,以便在資安事件發生的當下就能掌握事件影響範圍並即時處置。重點是第一時間要知道「你有沒有受到影響?」以及「受影響到什麼程度?」
舉例來說,若是今天新聞上出現了某個針對伺服器的勒索軟體,或是某個廠商在某個年份生產的某款晶片出了問題。在公司裡,老闆第一個問題一定都是:「那我們有沒有受到影響?」如果這時候企業的資產帳本是未知的,就很難在第一時間做出適當的處置。
因此,企業 IT 平時就需要進行內部資產的全面性盤點,包括各種服務所在的伺服器,電腦、虛擬機等,以及員工使用的裝置如電腦、手機等;除了實體資產外,也得掌握組織內部通訊的方式跟資料流,並確實盤點會使用到哪些外部服務,例如 Gmail 或 AWS 等,釐清這些企業用的服務是否有潛在風險。
盤點後便能掌握企業有哪些資產、哪些服務,接下來就可以著手進行事前的風險評估,以及擬定相對應的回應計畫。例如,一間企業都會有許多關鍵系統,如 ERP 、 CRM 、薪資系統等,將這些服務依關鍵程度來分類,考量的因素包括服務的可用性、使用次數,哪些系統的掌握度比較高,以及易修補的程度等,將這些因素綜合評估,決定遇到問題時修補的優先順序以及修補方式。
第二步:保護:規劃並實作保護架構
在第二個步驟「保護」中,要進行的是規劃並實作企業的保護架構,除了建立基本的網路安全設定如區域網路切割,虛擬區域網路,防火牆設定外,首要概念是,以零信任概念(Zero Trust)建置內部的權限控管。
事實上,零信任是業界正在普遍提倡的概念,不會預設該名使用者是值得信任的並給予相關權限,而是以最高的標準進行持續的驗證與審核。建議企業強化身分認證機制,控管帳號權限以確保架構安全,尤其是擁有高權限的帳號管理。
此外,根據 iThome 2019 企業資安風險前十名,排名第一是員工疏忽、欠缺資安意識(57.1%),在建置企業的保護機制的同時,也需持續提升內部員工的資安意識,包括對於惡意的釣魚信件,以及網路廣告,非法網頁等風險的認知。
第三步:偵測:定期更新系統、防毒軟體,掌握所有服務流量狀態
第三個步驟「偵測」,企業對外應定期注意系統、瀏覽器以及其它常用程式是否更新至最新版本,並確實修補已知弱點,以達完整保護,同時應掌握所有服務流量狀態;並擇用防毒軟體等系統安全工具即時偵測及對抗惡意威脅,強化安全保護。此外,也包括資安事件發生的當下,是否能即時偵測到風險。以企業重要的稽核日誌為例,這些 log 平時是否有受到管控,有異常登入或是有資安疑慮時會通知誰,如何通知,都必須事前安排好,確保資安事件發生要通知、通知要有人看,以及看到了要處理。
第四步:回應:順暢的內外溝通管道以及應變計畫
為確保意外發生時可即時做出適當處置,平時應確保相關廠商的聯繫窗口名單,例如:儲存設備供應商、防毒軟體供應商、品牌公關窗口或法律顧問等。延續第一個步驟「盤點」的基礎,企業可以事先建立與供應鏈的溝通管道,預先確認事件發生時的最短可支援時間,如果真的不幸受到影響,就可以在第一時間討論如何修補,或是找到緩解方式。
此外,組織內部的溝通是否順暢,以及是否有在事前預先擬定回應的流程也十分重要。畢竟在資安事件發生的當下,絕大部分的企業都是手忙腳亂,因此平時就得訂定計畫,包括事件當下資訊團隊如何在最短時間內判定嚴重程度、著手修補,企業應如何組成臨時的決策單位,會涉及哪些跨部門合作,或是以及處理層級必須上至哪裡,哪些事件需要由 C Level 的人主導等。
第五步:回復:持續改善計畫流程
第五個步驟「回復」除了延續上一步,事件發生的當下如何復原與修補的計劃外,也包含了賽後檢討這一塊,當企業啟動預定的回應計劃時,務必留意設定目標達成比例,檢視流程設定是否過於理想而難以實作,持續性改善計劃流程,並確保相關人員資訊更新。此外,也建議企業能持續留意業界最新的資安趨勢與新聞,確保整體架構能夠與時俱進。