合規與風險
IT 決策者如何建立一套主動式網路資安計畫
為了協助企業將資安左移,趨勢科技網路資安暨企業程式開發副總裁 Greg Young 與 DataStream 執行長暨共同創辦人 Andy Anderson 一起探討 IT 決策者如何利用一套主動式網路資安計畫來教育董事會。

我們與 Sapio Research 近期合作的一項調查指出,有 73% 的受訪者都為其數位受攻擊面的規模感到憂心。他們對於網路威脅當前態勢對企業的影響所呈現出一面倒的反應,全都是因為一件事:遠距上班。由於在家上班 (從任何地點上班) 的人力增加以及企業使用的雲端服務變多,企業「是否」會遭到網路攻擊的問題,已經變成了「何時」會遭到網路攻擊。
這也使得企業需要更主動地思考網路資安事宜。趨勢科技研究人員表示,90% 的 IT 決策者覺得他們的企業會為了數位轉型、生產力或其他目標而犧牲網路資安。另有 82% 曾經覺得被迫必須在董事會面前刻意淡化網路資安風險的嚴重性。
Greg Young 在參加 The Cyber Crime Lab Podcast 節目時分析了企業可預先採取哪些主動措施來建立一套網路資安風險管理計畫。
問:您看到了何種資安事件以及企業應該從中學到什麼教訓?
Young 回想起他在 Gartner 的日子,他強調當企業遭到網路攻擊時,他們的資安團隊其實並不訝異。這呼應了趨勢科技研究所點出的情況:網路犯罪地下市場上販售的漏洞攻擊手法有 22% 都已經存在三年以上。事實上,Young 表示:「那些截至 2020 年底為止所遭到攻擊的漏洞有 99% 未來在發生資安事件時仍將是資安與 IT 人員已經知道的漏洞。」
問:所謂的採取主動,還包括像解決遠端桌面協定與 Microsoft Exchange 已知漏洞這樣的動作。您為何認為這些並未獲得解決?
儘管在網路資安領域之外,一般人都會覺得執行資料備份或套用修補更新是一件簡單的工作,但 Young 解釋其實並不像看起來那麼容易。由於資訊長 (CIO) 已經無法掌握全部的 IT,因此要找到企業環境內部的每一個環節並加以修補不是一件容易的事。根據 Gartner 最近的一項研究指出:「今日有比以往更多的應用程式是由業務單位所採購和控管,而非 IT。」
若是採用工業物聯網 (IIoT) 的產業,那發掘漏洞的工作甚至更難。這是因為那些擁有大量工業運算裝置的企業通常會將這部分與 IT 分開。根據趨勢科技的一份研究指出,大約僅有 40% 的 IIoT 企業會有資安相關人員參與決策過程。Young 補充道:「兩者之間存在著一道高牆,而他們不希望兩邊互通,甚至兩邊的文化也截然不同。所以是人員、文化以及修補能力的問題,而這是最難發現的。」
問:許多時候,您會看到一個企業的董事會在試圖同時降低成本和風險。您覺得這對資安將造成什麼威脅?
根據 Trend Micro™ Research 指出,69% 的業務與技術領導人 覺得網路資安完全或大部分屬於科技領域,與業務沒有太大或毫無關聯。這意味著企業的董事會比目前正面臨修補進度落後的 IT 團隊更容易反對為了修補漏洞而讓業務中斷。正如 Young 所解釋:「假使你坐在那裡,然後什麼都不做,在許多企業其實是間接受到鼓勵的。」
問:雖然使用開放原始碼元件能協助企業加快步調、變得更有彈性,但資安團隊通常會因漏洞而苦。那麼 IT 資安該如何搶先一步?
Young 引用一個近期發生的企業資安事件做例子,他指出許多 IT 資安解決方案本身的程式碼就包含了開放原始碼元件。而 IT 團隊通常不知道這些元件存在,這使得網路駭客有機會利用這些漏洞。
趨勢科技提供了四個最佳實務原則來防範開放原始碼漏洞,包括:盤點用到的開放原始碼;追蹤開放原始碼漏洞與授權;修正、修補、升級;還有持續監控。
問:關於主動式網路資安思維,您對中小企業有何建議?
如同趨勢科技委託製作的 Opinium 問卷調查指出,在 1,125 名受訪的資安長 (CISO) 當中,有將近 50% 提到網路資安人才短缺是他們企業所擔心的問題。因此 Young 鼓勵那些缺乏適當專業內部人才的企業將其網路資安作業外包,或採用託管式網路資安工具。
此外,Young 也鼓勵資安領導人檢視一下自己的資安環境來確定假使他們採用了多套不同的工具,這些產品不會各自為政。