近期台灣多家知名企業陸續發生資安漏洞,其中和泰集團旗下的共享汽車品牌 iRent 有四十萬名消費者的個人資料全被駭客揭露;華航的資料庫遭駭,會員個人資料遭駭客陸續公開在網路論壇;而微風集團也發生資料庫遭駭,高達九十萬的用戶個資、發票、訂單等資料全被放上駭客論壇兜售;威秀影城與電競大廠微星也接連爆發資訊駭客入侵事件。頻繁發生的資安危機,也使數位部長唐鳳被質疑上任後沒有在資訊安全維護上有所作為。
儘管企業迅速反應、並配合行政單位做通報與調查,但對於企業的傷害已經造成,也進而影響社會對其信任程度與品牌印象。目前行政院所已經針對企業所發生之資安事件祭出的更高的行政罰鍰,但除了事後補救之外,企業主該如何在危機發生前便做好萬全準備,降低系統暴露在風險之中的機率?
我在此呼籲:在充滿風險與挑戰的萬物聯網「霧卡時代」(VUCA,不確定性、複雜性、不穩定性、模糊性),企業需要具備有效的快速應對能力,有三支預防針一定要打:
企業動起來就有勝算
1.內建資安(Build Security In)或基於安全設計(Security by Design),在開發產品的第一天就要先考慮資安
建立一個有效的資安姿態需要從開發初期就考慮資安,採用內建資安或基於安全設計的方式,將資安納入到產品的開發過程中。
2.了解威脅並持續的自動檢測,爭取在第一時間便識別威脅
DevSecOps 是實現自動持續安全審視的方式,它將資安納入到 DevOps 的過程中,融合開發、測試和運營,實現自動化持續地審視自己的安全。
3.沒有最有效的防禦方法,資安需要不斷防禦,動起來就有勝算
了解不斷出現的威脅並持續自動檢測,以爭取第一時間識別威脅、進行快速應對。資安防禦沒有最有效的方法,因此需要不斷的防禦,動起來就有勝算。
當企業在演練「滲透測試」時,應在產品開發過程中就進行檢測,可以快速發現問題,而非等問題發生才進行檢測。近期企業發生之資安事件,大多是因一次提供給消費者端的服務過多,而忽略檢測所致。企業在開發許多新服務時,很可能便在測試、開發的過程中忽略掉一些資訊。由專業角度來看,我認為不要一次完成所有資安事項,而是經由持續檢測,從外部模擬駭客的攻擊方式,去檢視自身系統漏洞。
在技術方面,我建議企業應強調資安的「縱深防禦」,即在每個階段均提供防禦措施,以減少機密外洩的風險;這些措施會有一定效果,但如果下一個問題不是資料外洩,而是基礎建設的洩漏,這些措施就可能無法解決問題。因此,仍然建議持續從外部檢視系統、尋找外露的資訊,並儘可能減少可能的漏洞,是在現階段技術快速迭代的狀況下比較有幫助的。
政府加重相關罰則,對整體資安防護是否有所幫助?我認為,若是企業投資資安的成本小於罰鍰,企業將會更願意去全面執行資安防護。企業最主要工作應該是要強化底層系統,持續不斷模擬駭客怎麼看待企業的系統,那就可以發掘到潛在的問題,做法上並不會很困難,而且只要企業做了防範以後,效果會很顯著。
基於此建議,我在開發產品時,自己便以 DevSecOps 實踐自動持續地審視安全性。因此建議一般企業導入以駭客思維、由外往內透視風險的工具,例如逆向網域探索技術,以快速挖掘公司的潛在風險和目標,這套多層次探索工具可快速挖掘公司潛在風險與目標,並已經協助回報多間跨國上市公司(包括 ASUS、CISCO 等企業)能夠提早識別風險,並採取相應的防禦措施。
在萬物聯網的「霧卡時代」,企業建立正確的資安認知態度非常重要,且需要採取有效的快速應對措施,並採用相應的工具和技術進行防禦。從開發產品的第一天就考慮資安,建立緊急應變、沙盤演練的習慣,提升企業數位韌性。
責任編輯/周岐原
