去年底證交所發布關於:
「上市上櫃公司資通安全管控指引」相關要求,
主要係配合金管會強化整體上市公司資通安全管理政策,
要求上市公司應配置適當人力資源及設備,
亦應進行資通安制度規劃、監控與執行等等規範。
本指引涵蓋政策面、管理面與執行面,
提供上市櫃公司檢視資通安全相關的參考,
目前我國上市櫃公司按照一定條件,區分第一、二、三等級公司,
今年(2022)年底,第一級公司 (111家) 需設立資安長與專責單位,
而第二級 (1321家) 應在明年底設立資安專責主管,
故從去年底開始,各家公司均陸陸續續宣布設立資安單位,
或是任命資安長等角色,均係開始針對本指引進行相關整備。
除了在政策與管理面屬人員、組織與流程的要求外,
其中亦有直接明確的資安工具的要求與導入,
主要可以把它區分為:「威脅管理、身份認證與管理與資料安全」,
節錄幾條指引參照如下:
第七條、鑑別並定期檢視公司之核心業務及應保護之機敏性資料。
第十三條、將資安要求納入資通系統開發及維護需求規格,
包含機敏資料存取控制、
用戶登入身分驗證及用戶輸入輸出之檢查過濾等。第十八條、具備下列資安防護控制措施:
一、 防毒軟體。
二、 網路防火牆。
三、 如有郵件伺服器者,具備電子郵件過濾機制。
四、 入侵偵測及防禦機制。
五、 如有對外服務之核心資通系統者,具備應用程式防火牆。
六、 進階持續性威脅攻擊防禦措施。
七、 資通安全威脅偵測管理機制(SOC)。第二十三條、建立資通系統及相關設備適當之監控措施,
如:身分驗證失敗、存取資源失敗、重要行為、重要資料異動、
功能錯誤及管理者行為等,並針對日誌建立適當之保護機制。
透過以上幾條指引內容的截錄,
可以看出具體的資安防禦大致是傳統防毒、防火牆、郵件保護,
以及入侵偵測及防禦 (IPS) 與應用程式防火牆 (WAF) 等保護。
但也逐漸開始針對傳統資安防護以外的範圍,
像是對身份存取與資料異常存取等等,開始有相關要求與規範。
而在威脅偵測管理與進階威脅防禦這邊,
我們也可以直接看到 SIEM 裡的幾項核心功能,
能夠符合 APT/SOC/監控/日誌 相關指引的保護需求,
而這些也在過去十幾天的鐵人文章有陸續分享介紹到,
謹整理如下供各位邦友參考:
之前我們在 SIEM 規劃部署與實施 (地端篇) 分享到,
關於要規劃、部署與實施一個 SIEM 的方案,
要考量的方方面面其實非常多元,
而要建立一個 SOC 的人員、工具與流程,
更是需要有專責單位與人力資源來協助實施與維護。
對有充足資源、權責分工明確的企業而言,
應該早已完成指引相關的要求,
比較辛苦的通常會是在第二級的一千多家公司。
在今年接觸過的一些客戶經驗,
通常都會是資安單位剛成立、
相關人力配置資源也尚未到位。
通常都是先由幾位資安人員負責照看整個企業資安業務,
因此這幾年都算是第二級公司開始逐步加深資安推動的時期。
也因此在還沒有充足資源到位前,
適時考量由 MSS/MDR 服務來解決企業資安管理需求,
也會是短、中期的一個替代分上。
透過代管、駐點、協助企業資安專責單位,
慢慢隨著企業相關資源到位後,逐步厚植企業自身資安能量,
把哪些需要外部資源協助,哪些想要自己累積培養的,
在一個 3 到 5 年的專案週期內,開始分階段、逐步落實。
這份資通安指引係提供上市櫃公司一份原則參考,
在目前的規範中,
尚無到非常具體的相關細節要求,
因為畢竟上市櫃公司多數仍以非金融機構居多,
還無法由金管會等角色可以管控到非常具體與細節。
但這份指引在另一個角度而言,
已然是開始將臺灣核心的一千多家核心企業,
將其相關的資安防護,參考資通安全法精神,
逐步要求與強化相關資安防護要求,
並且透過結合企業商業經營目標 (金管會、證交所、上市櫃),
來開始讓核心企業逐步意識、強化、提升其自身資安防護能量,
相信這對台灣未來整體資安市場的成熟度而言,
於企業、政府、資安廠商絕對都會是有正面助益的加乘效果。
今天我們談了 SIEM 之於上市櫃公司的指引關聯,
既使指引尚無強制要求企業應當落實至何種程度,
但它是很好的開端,在政府、金融之外的場域,
開始逐步推升大型企業的資安量能,
讓我們共同期待未來資安市場的持續成長與茁壯。
明天開始就進入我們的「零信任三重奏」:
謝謝你/妳的閱讀與支持,
祝週末愉快!我們明天繼續空中相會。