iT邦幫忙

2025 iThome 鐵人賽

DAY 28
0
Security

我的30天資安攻之路防身修練:實戰×工具×AI全紀錄系列 第 28

【DAY28】概念分享/資安管理總結

  • 分享至 

  • xImage
  •  

說了這麼多紅藍隊,其實也是測試資安的一大環節,雖然大家可能都有非常厲害的技術但在管理流程也是絕對少不了的!!!今天最後來總結一下各個資安/風險管理吧!!!
https://ithelp.ithome.com.tw/upload/images/20251021/20168357iNXxwtn9RA.png

來源:https://www.coretronic.com/csr/information-risk


好的,這就為您整理資安管理中涉及的各類風險。

資安管理風險(Information Security Risk Management)是一個持續性的過程,旨在識別、評估、處理並監控組織資訊資產所面臨的威脅與弱點,從而將潛在的衝擊與損失控制在可接受的範圍內。

以下將從「風險管理流程」與「常見風險類別」兩個面向,為您完整說明。

壹、資安風險管理流程

一個完整的資安風險管理生命週期,通常包含以下四個主要階段:

階段 核心任務 說明
1. 風險識別 (Risk Identification) 找出「有什麼」與「怕什麼」 全面盤點組織內部的資訊資產(如:伺服器、資料庫、網路設備、應用系統、機敏資料等),並識別這些資產可能面臨的內外部威脅(如:駭客攻擊、惡意軟體、員工疏失、天災等)以及自身存在的弱點(如:系統漏洞、未更新的軟體、缺乏安全意識的員工)。
2. 風險評估 (Risk Assessment) 分析發生的可能性與衝擊程度 針對已識別的風險,分析其發生的可能性(Likelihood)以及一旦發生可能對組織營運造成的衝擊(Impact),例如:財務損失、商譽受損、法律責任、營運中斷等。透過質化(高、中、低)或量化(具體金額)的方式,計算出風險值,並排出處理的優先順序。
3. 風險處理 (Risk Treatment) 決定如何應對風險 根據風險評估的結果,針對不同等級的風險,採取最合適的應對策略: • 風險降低 (Mitigation): 實施安全控制措施(如:安裝防火牆、修補漏洞、加密資料、員工教育訓練)來降低風險發生的可能性或衝擊。 • 風險轉移 (Transfer): 將風險的全部或部分衝擊轉嫁給第三方(如:購買資安保險)。 • 風險接受 (Acceptance): 對於處理成本過高或衝擊極低的風險,經管理層審慎評估後,決定接受其存在。 • 風險規避 (Avoidance): 停止會導致風險的商業活動(如:停止提供某項不安全的網路服務)。
4. 風險監控與審查 (Risk Monitoring & Review) 持續追蹤與改善 資安威脅與組織環境不斷變化,因此風險管理是個動態的過程。必須持續監控已實施的控制措施是否有效、是否有新的威脅或弱點出現,並定期重新審視與評估整體風險狀況,以確保資安防護的有效性。

貳、常見資安風險類別

資安風險可以從多個維度進行分類,以下列舉實務上最常見的幾種類別:

一、 技術層面風險 (Technical Risks)

這類風險主要源於資訊系統、軟硬體本身或其設定的弱點。

  • 惡意軟體 (Malware): 包含勒索軟體 (Ransomware)、病毒、蠕蟲、木馬程式、間諜軟體等,可能導致資料被竊、系統癱瘓或被加密勒索。
  • 網路釣魚 (Phishing):- 透過偽冒的電子郵件、訊息或網站,誘騙使用者點擊惡意連結或提供帳號密碼等敏感資訊。
  • 阻斷服務攻擊 (DoS/DDoS): 駭客利用大量惡意流量癱瘓目標伺服器或網路服務,導致正常使用者無法存取。
  • 系統與應用程式漏洞 (Vulnerabilities): 作業系統、應用程式或網路設備因設計缺陷或程式碼錯誤而產生的安全漏洞,可能被駭客利用來入侵系統。
  • 不安全的網路設定: 例如,防火牆規則設定不當、Wi-Fi 密碼強度不足、開放不必要的通訊埠 (Ports) 等,都可能成為駭客入侵的管道。
  • 供應鏈攻擊 (Supply Chain Attack): 駭客不直接攻擊目標組織,而是攻擊其信任的軟體供應商或服務提供商,透過其產品或服務的更新管道將惡意程式碼植入目標組織。

這些我們很多在30天內做出了初步工具介紹整理!!!


二、 人為因素風險 (Human-related Risks)

人的行為是資安鏈中最脆弱的一環,許多資安事件都與人為疏失或惡意行為有關。

  • 員工疏失 (Employee Negligence): 例如,誤點釣魚郵件、使用弱密碼、遺失存有機敏資料的設備、將資料傳送到錯誤的收件人等。
  • 內部威脅 (Insider Threats): 組織內部員工(現任或離職員工)出於報復、貪婪或其他動機,濫用其存取權限竊取或破壞資料。
  • 社交工程 (Social Engineering): 攻擊者利用人性的弱點(如:信任、恐懼、好奇心)進行欺騙,以獲取機敏資訊或系統存取權限。
  • 缺乏資安意識: 員工不了解基本的資安防護原則,無法識別潛在威脅,導致無意中將組織暴露於風險之中。

三、 物理與環境風險 (Physical & Environmental Risks)

指對存放資訊資產的實體設施與環境所造成的威脅。

  • 未經授權的物理存取: 缺乏門禁管制,導致非授權人員得以進入機房或辦公室,直接接觸或竊取重要設備。
  • 天災與環境事件: 如火災、水災、地震、斷電等,可能直接損毀資訊設備,導致服務中斷與資料遺失。
  • 設備失竊: 筆記型電腦、伺服器、硬碟等設備被竊,導致硬體資產與儲存資料的雙重損失。

四、 組織與管理流程風險 (Organizational & Process Risks)

源於組織政策、制度或管理流程上的缺失。

  • 缺乏資安政策與程序: 組織沒有明確的資安政策、標準作業程序 (SOP) 可供員工遵循,導致安全管理混亂。
  • 存取權限管理不當: 未遵循最小權限原則 (Principle of Least Privilege),給予員工過高的系統權限;或在員工離職、轉調後未及時移除其權限。
  • 變更管理不善: 在系統或軟體變更過程中,未經充分的安全性測試,可能引入新的漏洞。
  • 法規遵循風險 (Compliance Risk): 未能遵守相關法律法規(如:個人資料保護法、上市上櫃公司資安規範),可能面臨罰款或法律訴訟。

有效的資安管理,即是透過上述的管理流程,來全面應對這些來自不同層面的風險,以保障組織的資訊資產安全與營運持續性。


上一篇
【DAY27】工具介紹/威脅情報(TI)整合與弱點掃描
下一篇
【DAY29】技術實作/打造一個 AI 釣魚郵件偵測器
系列文
我的30天資安攻之路防身修練:實戰×工具×AI全紀錄30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言