商周

啟動成功關鍵,隨時掌握商周.com最新資訊

提供第一手新聞解析、財經趨勢、專屬活動

已加入收藏
已取消收藏
熱門關鍵字
熱搜內容
現正閱讀
迎向2020,中華電信對企業資安防護的三大提醒
畫重點
段落筆記
新增筆記
「請稍等」英文別直接中翻英說please wait a minute!一次掌握,常用的電話對談英文
0
/500
不公開分類 公開分類
儲存

財經

Sponsor

迎向2020,中華電信對企業資安防護的三大提醒

廣編企劃
2019.12.19 7,523

企業資安難為,儘管已經投入預算添購設備,系統問題卻仍處理不完。因為企業當今面臨的是一股暗黑力量,同樣用著最新AI技術想方設法潛入企業內網行竊,甚至同樣開出誘人條件招募優秀資安技術人才…

多年來協助上百家政府機關及企業規劃資安防禦系統的中華電信,數據通信分公司資訊處謝東明處長剖析近期企業常見的資安風險,並提出具體建議以協助企業對抗龐大的暗黑勢力。

中華電信數據通信分公司資訊處處長 謝東明

1.新風險、舊漏洞交雜,資安工作首重落實

謝東明指出,近期受到比特幣下跌的影響,挖礦惡意程式稍有平息,但仍傳出許多遭受勒索軟體攻擊及透過社交工程手法的變臉詐騙攻擊事件。這些攻擊所利用的並非新弱點,而是受害企業遲遲未更新的老舊系統漏洞。同時,中華電信也觀察到一波針對證券業、銀行所發動的DDoS(分散式阻斷服務)攻擊,塞爆連線頻寬後緊接著發出勒索信件,考驗受害企業的緊急應變能力。

老舊漏洞攻擊持續有效,而隨著企業加重雲端的部署,核心系統接連往雲端搬移,謝東明呼籲企業應特別注意雲端原生應用程式Container的維護安全。DevOps整合來到雲端環境後,開發人員不能只管系統功能開發完成而忽略驗收或上線前的系統設定,人為設定的疏失往往就造成安全問題。例如,開發階段為了測試方便會開啟Debug mode,但在上線前就必須關閉否則將暴露系統資訊讓駭客有機可乘。同時,隨物聯網技術的普及,從智慧家庭到智慧工廠遍佈許多連網裝置,這些裝置出廠前需經過安全檢測,否則也可能淪為IoT殭屍網路的一員。

2.數位轉型當道,慎選公雲平台

當今各產業積極進行數位轉型,紛紛採取混合雲、多雲等IT策略,以金融業來說,金管會訂定辦法放寬標準,在符合規範下金融業可採取境外的公雲服務。中華電信也看好此一法規的頒布將帶動金融業選擇本地IDC業者服務作為境內資料備份,中華電信位於板橋的雲端IDC機房是通過TIA 942(美國電信產業協會電信基礎設施標準)Level 4等級認證的機房,可滿足對資安有最高等級行業的需求。

中華電信數據通信分公司資訊處處長 謝東明

3. 紅隊 V.S. 藍隊攻防演練玩真的

模擬駭客的攻擊思維找出系統漏洞,許多企業甚至主管機關制定的資安法規都要求須對重要系統進行滲透測試。然而滲透測試已不夠看,現今大型企業或重視資安的機構開始進行挑戰更高的紅/藍隊攻防演練,在不事先講好攻擊測試哪幾台主機系統的前提下,紅隊實地以各種攻擊手法探測企業網路弱點,同一時間也考驗藍隊的即時應變偵查能力。尤其非營利組織MITRE提出ATT&CK攻擊戰術框架後,藉由定義各種駭客攻擊行為,使防守方的資安專家們可以有共通語言理解這些攻擊手法,以便採取因應防禦。

謝東明認為ATT&CK框架發表後將有助於推動紅/藍隊攻防演練,他建議受資安管理法規範的八大關鍵基礎設施提供者都應試行,包括能源、交通運輸、金融、高科技園區等。目前子公司中華資安國際有推出此一專業服務。除了攻防演練之外,謝東明也提醒不能忽略應用系統端監控,若是針對應用系統的攻擊,儘管已有網路/資安監控中心仍然無法即時偵測此種攻擊,必須在應用系統端安裝代理程式以即時偵測系統反應時間是否異常。

以資安防禦架構IPDRR(Identify辨識、Protect保護、Detect偵測、React反應、Restore復原)來看,資安工作確實難為。現今資安廠商將AI及機器學習等技術應用在資安設備上,以提高攻擊偵測的可視性。然而駭客也同樣運用AI技術在攻擊上,以評等各種漏洞的攻擊性與可用性。在這場無止盡的攻防戰中,隨著企業資安意識提高,資安人才也變得炙手可熱。

資安人才難尋不是現今才有的問題。謝東明認為,短期而言企業可以透過委外服務或聘請資安顧問協助處理某些工作,但是長期而言,資安應視為企業文化的一環,企業仍應與大專院校或工業局等培訓機構合作,持續培育起自己的資安團隊,建立起融合業務需求與資安思維,屬於企業自己的資安策略才是長治久安之道。

HiNet 企業資安

企業資安服務:https://secure365.hinet.net/

企業資安優惠方案:http://bit.ly/38GDRzp

客服電話:0800-080-365


 
下滑載入更多報導
留言討論