我見我思-企業提升資安體質 四招不可少

過去幾年間,臺灣大型企業的資安投資力道呈顯著成長,根據 iThome 統計數據,企業平均資安預算從2017年的435萬元,到2023年已大幅提升至約1,408萬元;2022年的資安預算715萬元與實際支出1,193萬元,更有高達近480萬元的差距。而 DEVCORE 統計數據卻顯示,有87%企業在演練過程中外部系統可被成功控制,其中近半數演練曾發現企業機敏資料遭員工不慎上傳至Google Drive、GitHub等平臺,更有71%企業第三方系統存在高風險弱點。因此,無論是線上學習系統、ERP企業資源規劃系統、甚至是辦公室內的實體印表機,都可能成爲攻擊方的攻擊破口或潛在據點。可見得儘管企業資安投入大幅提升,但面對瞬息萬變的攻擊技巧,防護能量仍需因應最新威脅不斷強化。

做好資安如同防疫,只透過 N95口罩、防護衣阻隔病毒侵入是一時之舉,回頭檢視自身配置並提升整體免疫力和防禦力纔是長久之計。同樣地,企業在思考資安時,添置必要的軟硬體設備做好基礎防護固然重要,但透過定期演練、制定防禦應變流程、持續評估資安部署的優先順序及有效性,藉此全面性地提升資安體質,方爲長久應對之道。

我們從紅隊演練經驗中觀察到,資安體質持續進步的企業多是透過以下四種方法變得更健康。首先,持續縮小攻擊表面積,如遵循「權限最小化」原則,降低駭客組織取得權限後能造成的影響;第二、徹底落實網段切割,降低駭客從對外系統即可連線直達AD等核心系統的可能性。其三、企業主管應抱持「究事、不究責」的態度,放手讓團隊嘗試。最後,樂於接受駭客思維,不再以「有利於防禦方」的角度來指揮攻擊方,而是敢於接受模擬真實駭客行動、全盤性的演練,往往能更有效檢視企業資安應變機制、提升團隊迴應速度,達成更好的演練效果。

隨着運算力的提升及AI應用的普及化,更多降低攻擊成本的工具或服務的面世,也將使未來的防禦變得更加困難,與其抱着僥倖心態、忽略資安事件發生的可能性,企業應抱持開放態度,不斷觀察並接受外在變化,更須考量自身特性、規模、需求、資安成熟度,以真實檢測瞭解自身防護能量,規劃合適的資安防禦計劃,對資安投資進行有效配置,全面性強化資安韌性及體質。