網路資安威脅
網路資安託管服務的第一堂課
在企業迅速移轉至雲端以及威脅情勢不斷演變的環境下,託管式服務供應商 (MSP) 正在不斷成長。看看 MSP 能為您企業提供什麼協助,以及您該如何聰明地挑選這類合作夥伴。
飛快的數位轉型已使得企業資安跟不上轉型的腳步,而且在一個時間決定一切的時代,企業也面臨巨大壓力必須盡速建置頂尖的資安防護。
不論任何規模的企業都有可能缺乏足夠的人力和物力來建置一個資安營運中心 (SOC)。更麻煩的是,即便是有能力聘僱和訓練資安專家的企業,也得面對網路資安人才短缺的問題。
解決之道就是:託管式服務供應商 (MSP)。託管式服務供應商 (MSP) 或託管式資安服務供應商 (MSSP) 是一種網路資安專家委外服務供應商,能協助企業解決立即及長期的資安需求。MSP 越來越普遍,約有 38% 的企業採用 MSP 來解決他們一半以上的 IT 需求,這比例較去年大幅成長 25%。
不過在趕搭這波潮流之前,企業應該謹慎評估並規劃如何利用 MSP 來降低相關的資安風險。本文針對 MSP 的效益提供一份完整介紹,並提出您在評估 MSP 時該考量的幾點因素。
何謂 MSP?
今日 MSP 已跳脫傳統日常故障維修管理工作。 MSP 是一種 IT 委外服務廠商,能提供企業 IT 基礎架構與終端使用者系統所需的支援服務。一般來說,MSP 能幫客戶處理即時威脅偵測以及其他網路資安營運作業,讓客戶專心經營業務而不須擔心系統中斷或停機的情況。
MSP 服務大致可分為三種:
- 純粹的託管服務:幫客戶管理各種服務、技術或廠商。
- 同時結合傳統服務:將業務觸角延伸至安裝服務。
- 統包服務:提供所有的 IT 解決方案
採用 MSP 的好處
發揮最大效率
瞄準中小企業的網路威脅及網路攻擊 (如勒索病毒) 正不斷增加,部分原因是因為駭客發現這類企業的資安團隊缺乏足夠的人力和物力。但即使是擁有資安營運中心且人力充沛的大型企業,在部署複雜的端點偵測及回應解決方案時也會力不從心,無法發揮其最大效益。此外還有誤判的問題,讓原本就負擔沉重的資安團隊浪費了不少寶貴時間。
MSP 可彌補資安團隊的不足並減輕其負擔,因為 MSP 擁有豐富的網路資安經驗及認證,並熟悉各種現有及新興的技術。而且,由於 MSP 並非單一個人,因此企業可獲得各種 IT 專家所帶來的效益。不僅如此,MSP 為了達到合約規定的服務等級協議 (SLA),必定會善用各種產業最佳實務原則以迅速偵測、回應及矯正威脅。
持續達成法規要求
許多企業必須藉由稽核與報表來證明他們的業務流程與資安控管達到某些規範。此外,萬一發生資安事件,企業也必須在很短時間內立即通知受影響的客戶,以免面臨重大罰鍰。儘管這些流程看似單純,但複雜的語言和在地法規,卻讓維持法規遵循變成了一項艱難工作。再者,法規遵循通常不被視為企業的核心業務,因而導致企業在這方面缺乏井然有序的流程,增加了違規的風險。
MSP 是各領域的專家,他們會蒐集相關資料、監控系統與流程、製作法規遵循證明所需的內部及外部報表。此外,他們還會協助企業修補軟體、汰換老舊設備,這些都是大多數法規遵循框架所要求的。如此一來,企業內部人員就能專心處理核心業務並從事創新。
受攻擊面管理
隨著企業移轉至雲端來節省資產支出,並支援靈活需求以及遠距上班,其受攻擊面也迅速擴大,為網路犯罪集團開啟了新的攻擊途徑。
當越來越多使用者和裝置從遠端連上企業,不令人意外地造成了 82% 的網路資安事件都是人為錯誤所引起的狀況。顯而易見地,具備專業知識的資安人員,是降低資安風險的必要條件。所以,與其花費時間和金錢來訓練原本就負擔過重的內部團隊,不如採用 MSP,因為他們天生具備解決受攻擊面整體風險所需的專業知識和技能。
不僅如此,MSP 還可提供事件回應服務,並定期測試備份資料與災難復原計畫,確保企業擁有最有效的流程、程序和政策來應付可能發生的網路攻擊。最後,如果合約有規定,MSP 還會持續提供網路資安教育訓練來防範使用者相關的攻擊途徑,例如:網路釣魚及不良的資安習慣。
資安險
資安險再也不是可有可無的選項,而是任何規模的企業都必須擁有的一種保障。不幸的是, 勒索病毒攻擊的增加以及鉅額的贖金,已使得保險公司對資安險的要求門檻越來越高,甚至增加一些新的規定。由於資安險市場的快速變遷,企業實在搞不清楚該具備什麼條件才能投保或續保。而且,對某些保險公司來說,企業只有一次的機會可以申請資安險,因此您必須事先做好萬全準備。
有些 MSP 非常熟悉資安險的投保程序,因此可協助企業篩選想要投保的公司。此外,還可協助企業確定自己採用了適當的技術與最佳實務原則來達到資安險的要求門檻。
一家真正熟悉這行的 MSP 會指導企業如何利用創新技術與解決方案來超越這些門檻以獲得更好的價格。
評估 MSP 時的考量因素
您可以將挑選 MSP 看成是挑選一輛汽車,根據您的預算和需求,您會大概知道您想要哪一種車 (轎車、SUV、迷你廂型車),或什麼樣的功能 (加熱座椅、天窗),還有價格區間。
同樣地,您必須評估自己的預算、既有資源以及資安需求,才能在挑選 MSP 時做出明智抉擇。您對自己的現況了解越多 (包括缺點和未來目標) 您就越能和 MSP 討論出一份最滿意的合約,因為並非所有企業都適用同一套合約。
美國網路資安與基礎架構安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 製作了一份託管式服務供應商風險考量報告來協助企業從策略面挑選適當的合作夥伴。這份報告提出的框架包含以下三大要素:
策略性決策
資安長 (CISO) 和資安領導人在考慮採用哪一家 MSP 時,應該在成本與成效之間求取平衡。您必須將內部團隊以及 MSP 雙方的角色跟義務定義清楚,才能確保工作流程的順暢並實現最大效率。
其次,您必須評估現有的資安措施與公司能力。您有哪些資安漏洞和風險需要被徹底管理?同樣地,如果您希望 MSP 幫您提升偵測及回應能力,那麼您是否已經擁有一套具備 延伸式偵測及回應 (XDR) 功能的全方位網路資安平台 , 還是您仍在使用各種單一面向產品? 或者,MSP 必須將他們自己的技術整合到您現有的環境中?
最後,不論您是否決定採用 MSP,在這過程當中發現的任何漏洞和風險都必須徹底解決,才能改善您的資安狀況。而這每一項都需要成本,不過卻可以幫助您編列預算,避免一些您原本會算到 MSP 頭上的「隱藏成本」。當您在估算費用時,請務必將建置新技術的前期投資與後續費用都計算在內。
營運性決策
毫無章法的採購方式與資安營運,不僅會增加成本,也會增加 供應鏈的網路資安風險。要避免這些問題,您應該在合約當中明確記載您的需求,而且在簽訂合約之前,您務必對 MSP 進行徹底調查並要求提供下列資料:
- 服務等級協議相關的效能數據。
- 詳細的事件管理原則。
- 軟體成分清單 (SBOM)。
- 記錄檔與事件資料的維護,以及系統直接存取權限。
- 提供員工相關文件供您徹底審查,盡可能降低智慧財產竊盜、篡改或營運中斷的風險。
- 良好的轉移計畫以便順利整合。
- MSP 若有任何承包商或獨立顧問可能將企業資料洩漏給第三方時應立即通知。
- 計畫性網路停機的作業程序。
- MSP 的財務狀況、其他客戶實績,以及先前是否曾經發生任何法律問題。
戰術性決策
企業的內部資安實務原則 (包括存取控管在內) 也應延伸至 MSP 的網路以降低相關風險 (如資安事件),例如採用 零信任 (Zero Trust) 策略只允許 MSP 存取必要的資源。
如果 MSP 會攜帶他們自己的工具和解決方案,那麼請確定您設置了供應鏈防護措施,並且對全面代管的系統設置適當的監控與記錄檔。建立一套良好的風險評估程序,善用自動化、AI、機器學習來監控並記錄 MSP 的進出、活動以及 MSP 與您網路的連線。制定一套政策來設定風險門檻,必要時可自動切斷連線來縮小潛在的攻擊範圍。
下一步
在今日不斷演變的威脅情勢下,有效且高效率的網路資安對於企業的成功至關重要。正如前面所說,要徹底發揮 MSP 的最大效益,您必須先了解自己的不足以及您現有的資安措施。想要了解有關網路資安風險評估的更多資訊,請參閱趨勢科技資安評估服務與公有雲風險評估。