iT邦幫忙

0

資安防護

公司希望加強整體資安防護
但沒有具體方向

想請問大概有甚麼規劃或方向建議呢?
謝謝。

2
hsiang11
iT邦研究生 1 級 ‧ 2020-04-07 01:35:44

一般建議先動防火牆重新規劃 很多公司的防火牆都用了超過5年了
老版本未升級 甚至一堆port亂開 外網都可以直接連進了
我還看過有防火牆打開ssh對外 每天都會有駭客來嘗試登入
接管的SI爛到完全沒有控管 就等著收錢簽保固合約 但是一定沒跟原廠買
自己賺下來

另外的是公司是否有檢視目前的對外服務是否有必要性
有些主管只會說資安很重要 但是他們卻完全沒再觀察
開了一大堆沒必要的服務
然後就發生了 SMTP被濫寄垃圾信
或是一個含有重要個資的server被不斷嘗試登入沒人知道
這些案例我都實際看過 只是都很好運還沒出包到而已

另一個方向就是檢視目前公司的防毒是否有能力抗最新病毒
觀察中毒率 挑市場上的前幾名
而且把公司電腦都升到win10比較好 只是汰換這些老電腦預算也大
需要上頭大力支持 慢慢的汰換

其他的資安問題其實看找到的資訊人員是否有心想控管好資安
這就很靠緣分了 就連SI也未必會把資安做好

0
Sergeyau
iT邦研究生 2 級 ‧ 2020-04-07 04:53:39

通常要看公司資安成熟度加強整體防護,所以有「資安健診」這類的評估。假設目前是只有很基本的防護,我也建議從防火牆著手。升級防火牆OS、重新規劃網段,在過程中對公司網路環境也會更熟悉,而且各大廠商如Check Point, Palo Alto, Cisco, Fortinet等等都有端點防護方案,可以一併進行PoC。

runan5678 iT邦新手 1 級 ‧ 2020-04-07 09:11:02 檢舉

只想補充說明,前三家都測試過,號稱功能多又好,但實際測試問題還不少成本又高,反應都到原廠了只會講產品是資安產品重在防護功能,我也只能呵呵笑..

10
raytracy
iT邦大神 1 級 ‧ 2020-04-07 08:09:18

資安不是買一堆設備把自己圍起來, 就叫安全, 先看看標準框架內有甚麼: NIST網路安全框架當紅

資安是風險管控的實施, 涵蓋: 人員, 技術, 流程三大領域, 她的目的是要維持企業能夠永續營運, 如果沒有經過風險盤點/風險評鑑, 只是盲目的投資在技術上, 你的漏洞將會發生在其他兩個領域:

(技術設備只處理了右下角的淺藍圈圈, 其他兩個都沒處理)

資安有 C.I.A 基本三要素, 你買的設備能滿足哪些要素?

其他用設備無法滿足的 CIA 要素怎麼辦? 放著不管?
結果出事了, 老闆問你: 為何買了昂貴的設備還出事?
你能告訴他: 「因為還有其他地方沒堵到」.....嗎?

設備買完了, 老闆問你, 現在我們的安全等級提升多少?
你頂多只能從內心唬爛一個數字: 70%, 80%, 95%...
但是有甚麼實質證據, 可以證明你說的數字是有效的?....

每年的黑帽駭客大會都會有攤位舉辦開鎖比賽 (對, 就是一般生活上用的鎖, 要拿一把真正鑰匙去開的那種; 不是你在電腦裡面的檔案鎖), 大家有沒有想過: 駭客為何要去比賽開鎖技術? 而不是去比賽穿透防火牆的技術?

反過來問: 你買了昂貴的防火牆, 也能夠阻擋一個實體開鎖技術高超的駭客, 來破壞/竊取你們家的資料嗎?

People/Process/Technology, 哪一種比較容易被穿透?

很多情境下, 花上千萬買全套無法保證 100% 無漏洞防禦的資安設備, 還不如公司訂好規章, 發布命令給大家遵循, 只需要一點點改變, 也不用花多少錢...

一開始就提到的 NIST CSF 框架是一個蠻好的起點, 把裡面五大項目都先檢討一次, 看看你們家缺了哪一個子項, 而且會嚴重影響 CIA 的? 不一定要一次補足, 但是可以讓你心裡有個底, 知道哪邊還有不足的地方, 還有優先順序怎麼排? 也才知道每年的預算該編在哪裡....

(這些至少可以編上五年的預算和計畫, 讓 IT 年年都有績效)

果然是大神。
將該說的全說了。

害我也沒得說了。

1
mytiny
iT邦大師 1 級 ‧ 2020-04-07 12:04:03

提供一點點在下的心得
當然覺得raytracy大大說得非常正確,非常好
實際上也該這樣評估與深入了解
但有鑑於客戶90%以上多半為中小企業
很少能夠做到"資安風險評"ISO27005
多數IT人員也是兼職資安
疑問:有沒有能夠直接而簡單一點的作法

是不是換一個好一點的防火牆就好?
有沒有想過為什麼要換防火牆?
IT人員有沒有每天看防火牆LOG並查明原因
如果做法跟觀念還在"擋外部威脅"
內部的電腦與Server之間,怎麼會有綁架病毒? 誰來防護?
備份、備份、再備份,真的有用嗎?
接入網路的都可靠嗎? 網路管理靠什麼?

公司希望加強整體資安防護
看來最重要的還是改變觀念

  1. 資安不是擋外部威脅就好
  2. 資安的重點在於人,包括老闆
  3. 觀念改變,網路實體架構也要跟著改變

改變了對事情的看法
其他的東西才能接著做的對

我要發表回答

立即登入回答