一般建議先動防火牆重新規劃 很多公司的防火牆都用了超過5年了
老版本未升級 甚至一堆port亂開 外網都可以直接連進了
我還看過有防火牆打開ssh對外 每天都會有駭客來嘗試登入
接管的SI爛到完全沒有控管 就等著收錢簽保固合約 但是一定沒跟原廠買
自己賺下來

另外的是公司是否有檢視目前的對外服務是否有必要性
有些主管只會說資安很重要 但是他們卻完全沒再觀察
開了一大堆沒必要的服務
然後就發生了 SMTP被濫寄垃圾信
或是一個含有重要個資的server被不斷嘗試登入沒人知道
這些案例我都實際看過 只是都很好運還沒出包到而已

另一個方向就是檢視目前公司的防毒是否有能力抗最新病毒
觀察中毒率 挑市場上的前幾名
而且把公司電腦都升到win10比較好 只是汰換這些老電腦預算也大
需要上頭大力支持 慢慢的汰換

其他的資安問題其實看找到的資訊人員是否有心想控管好資安
這就很靠緣分了 就連SI也未必會把資安做好

通常要看公司資安成熟度加強整體防護，所以有「資安健診」這類的評估。假設目前是只有很基本的防護，我也建議從防火牆著手。升級防火牆OS、重新規劃網段，在過程中對公司網路環境也會更熟悉，而且各大廠商如Check Point, Palo Alto, Cisco, Fortinet等等都有端點防護方案，可以一併進行PoC。

資安不是買一堆設備把自己圍起來, 就叫安全, 先看看標準框架內有甚麼: NIST網路安全框架當紅

資安是風險管控的實施, 涵蓋: 人員, 技術, 流程三大領域, 她的目的是要維持企業能夠永續營運, 如果沒有經過風險盤點/風險評鑑, 只是盲目的投資在技術上, 你的漏洞將會發生在其他兩個領域:

(技術設備只處理了右下角的淺藍圈圈, 其他兩個都沒處理)

資安有 C.I.A 基本三要素, 你買的設備能滿足哪些要素?

其他用設備無法滿足的 CIA 要素怎麼辦? 放著不管?
結果出事了, 老闆問你: 為何買了昂貴的設備還出事?
你能告訴他: 「因為還有其他地方沒堵到」.....嗎?

設備買完了, 老闆問你, 現在我們的安全等級提升多少?
你頂多只能從內心唬爛一個數字: 70%, 80%, 95%...
但是有甚麼實質證據, 可以證明你說的數字是有效的?....

每年的黑帽駭客大會都會有攤位舉辦開鎖比賽 (對, 就是一般生活上用的鎖, 要拿一把真正鑰匙去開的那種; 不是你在電腦裡面的檔案鎖), 大家有沒有想過: 駭客為何要去比賽開鎖技術? 而不是去比賽穿透防火牆的技術?

反過來問: 你買了昂貴的防火牆, 也能夠阻擋一個實體開鎖技術高超的駭客, 來破壞/竊取你們家的資料嗎?

People/Process/Technology, 哪一種比較容易被穿透?

很多情境下, 花上千萬買全套無法保證 100% 無漏洞防禦的資安設備, 還不如公司訂好規章, 發布命令給大家遵循, 只需要一點點改變, 也不用花多少錢...

一開始就提到的 NIST CSF 框架是一個蠻好的起點, 把裡面五大項目都先檢討一次, 看看你們家缺了哪一個子項, 而且會嚴重影響 CIA 的? 不一定要一次補足, 但是可以讓你心裡有個底, 知道哪邊還有不足的地方, 還有優先順序怎麼排? 也才知道每年的預算該編在哪裡....

(這些至少可以編上五年的預算和計畫, 讓 IT 年年都有績效)

提供一點點在下的心得
當然覺得raytracy大大說得非常正確，非常好
實際上也該這樣評估與深入了解
但有鑑於客戶90%以上多半為中小企業
很少能夠做到"資安風險評"ISO27005
多數IT人員也是兼職資安
疑問：有沒有能夠直接而簡單一點的作法

是不是換一個好一點的防火牆就好?
有沒有想過為什麼要換防火牆?
IT人員有沒有每天看防火牆LOG並查明原因
如果做法跟觀念還在"擋外部威脅"
內部的電腦與Server之間，怎麼會有綁架病毒? 誰來防護?
備份、備份、再備份，真的有用嗎?
接入網路的都可靠嗎? 網路管理靠什麼?

公司希望加強整體資安防護
看來最重要的還是改變觀念

1. 資安不是擋外部威脅就好
2. 資安的重點在於人，包括老闆
3. 觀念改變，網路實體架構也要跟著改變

改變了對事情的看法
其他的東西才能接著做的對