在生活或工作,有時我們需要一位教練或是導師給予我們指引,有時需要一位夥伴與我們並肩做戰,有些時候我們需要一位閨蜜聽聽我們訴苦。
許多產業現在都有要求設置資安單位及資安長、定期辦理資安長聯繫會議;我覺得這真的是一個良策,讓資安長們可以互吐苦水、交換心得,戰略討論...白話也許可以說是互相取暖、討拍、互相慰藉。資安長的壓力確實大。
一、主題啟發
最近與一位夥伴在談金融零信任架構參考指引 ; 現在做零信任的廠商每個都虎視眈眈,嚴陣以待,他們對於政府或金融業的訊息發怖都特別關注 ; 而他談起近期有一種角色/服務出現,就是"零信任資安顧問評估服務"。
二、顧問服務
- 在資安領域我最常遇到的的顧問服務有二種,一種是資安相關認證導入的顧問服務,例如:ISMS、PIMS、PCIDSS...,另一種是資安檢測的顧問諮詢服務,例如: 源碼檢測的修改建議、滲透測試的漏洞修復建議。
- 而大約二~三年前,金管會開始對證券/人壽險/產險等金融產業,針對資安規範比照銀行業的要求 ; 而我在當時即聽到客戶向我提及,他們會依證券公會/產險公會的評估報告出來後才會開始規劃必要的資安設備,而證券公會/產險公會都是請"四大會計事務所"來做整體的資安需求評估。
三、法規VS管理實務的指導教練
近幾年四大會計事務所投多入資安的積極度很高,他們做會計簽證、資安認證輔導、資安檢測、資安方案建置;他們夾帶著龐大企業的基礎,加上他們在法規法條的專業度,以及專業組織的分工,他們有強大的底氣可以幫助客戶做整體的評估,相對的,大型企業也會需要這四大做背書保證。
金融產業為何需要資安評估顧問服務做為前導車 ?
- 應用性質致使資訊環境龐大且複雜。
- 新冠疫情、地緣政治的衝擊,致使數位金融、雲服務快速推進,而讓攻擊面擴大。
- 現在喊的 "零信件架構" 以及 "資料保全" 都是含蓋面很廣的議題。
- 資安方案上百套、分散管理、政策難以統一、資安事件反應慢、人員負載越來越高。
- 如果資安設備投資錯誤會造成高成本的浪費。
四、然而,人為疏失如何管理?
Orange Cyberdefense曾引用VERIS資安意外統計框架,指出全球所發生的資安事件中,大約有35%是源自系統的錯誤配置,顯示出若認真改善配置問題,全球組織將可減少1/3的資安意外。
- 2023年10月,美國國家安全局(NSA)與美國網路安全暨基礎設施安全局(CISA)聯合發佈一份資安報告,詳列出常見的 「10 大資安設定錯誤」。該報告是透過紅隊與藍隊評估,以及威脅獵捕與事件應變團隊的活動,找出的 10 種常見資安設定錯誤。
- 這10大資安設定錯誤的發生,多半會伴隨以下幾種情況:我不知道(專業知識或資訊不足)、我以為(單兵作業而缺乏查核)、我忘了(事務繁多而忙中有錯),尤其在資安能量有限的中小企業組織是更為常見的情況。
- 報告所列出的 10 大資安設定錯誤如下:1.軟體與應用程式的預設設定。2.使用者與管理者權限的分離不當。3.內部網路監控不足。4.缺乏網路分段。5.修補程式的管理不善。6.可繞過系統存取控制。7.多重要素驗證(MFA)方法薄弱或設定錯誤。8.網路共享和服務的存取控制清單不足。9.憑證的管理不善。10.程式執行未受限制。
- 因為技術的發展己有各類檢測工具產出,它們可以檢測內部各種產品的資安配置,密碼強度,漏洞利用性、權限的管理,測試SIEM告警的靈敏度、SOAR自動通報劇本的執行度,此外也可以爬出曝險在外的資料做攻搫性的檢測。當我們花大錢在合規、在資安產品、在顧問諮詢上,也別忘了定期盤查各種設定細節 ; 人腦有限,在不斷變更環境的同時很容易忘了設定的調整,別忽略了善用自動檢測工具,定期內外盤查。