企業加速數位轉型,上雲已成產業新常態。然而依據 2021年 KPMG 公布《臺灣企業資安曝險大調查》結果,台灣本土大型企業網路防護安全性分數,平均只有68分,亦即一般駭客即可入侵。數位轉型服務商伊雲谷數位科技為雲原生之服務商,針對越來越多企業委外尋求資安顧問,伊雲谷提出三大面向供企業檢視自身需求:政府及客戶的合規性要求、資安檢測最小單位需求、資安報告的利益關係人。
數位轉型後,資訊戰跟著開打,但多數企業資安護城河尚未建立,企業門戶大開,資安攻擊層出不窮。面對國際上資安規範多元,及駭客攻擊日新月異,傳統單純購買資安軟體,以無法全面防堵攻擊。多數企業礙於人力不足,面對日益複雜的攻擊型態疲於奔命,因此,市場上開始出現託管安全服務提供商(MSSP),讓企業可以選擇將資訊安全管理委外,由專業顧問全天候 24 小時監管,滴水不露打造企業資安防護網。此外,許多資安風險並非來自於系統漏洞,而是來自於不安全的錯誤設定,預防勝於治療,系統設定安全,資安風險自然降低。
針對選擇合適的託管安全服務提供商(MSSP),伊雲谷網路資訊安全部技術總監賴厚昌以多年的經驗提出建議:「國際資訊系統安全核準聯盟(ISC)與雲端安全聯盟(Cloud Security Alliance),兩者的雲端安全威脅研究報告皆共同指出,『配置錯誤(Misconfiguration)』是雲端使用者最常忽視的資安漏洞,因此選擇雲端託管服務商首重要求廠商是否有專業能力,可以協助企業找出配置錯誤潛在問題,提供資安專業修正建議。隨著資安威脅升溫,面對政府和客戶,企業亦需出具相對應符合國際法規的資安合規檢測報告。以伊雲谷自身的產品 CYBOSTURE 為例,可以針對三大國際標準法規的檢測要求,提供檢測分數與步驟性的修正建議,讓企業可以於得知弱點後,即時補強。」
企業上雲後,漏洞防範更為重要,伊雲谷具多年協助企業數位轉型的經驗,提供企業以資安為基礎的雲端服務,除 24 小時的託管服務,更提供資安檢測服務及顧問服務,深入了解企業需求,奠基在豐富的雲端資安經驗,伊雲谷推出「CYBOSTURE 雲端安全狀態管理平台」,該平台以三大優勢滿足進階型資安顧問服務:
- 以國際資安合規為基礎:為使企業滿足國際客戶需求,「CYBOSTURE」資安框架評估同時支援三大國際合規框架,包含 NIST CSF、CIS Controls、PCI DSS。
- 完整架構,檢測達雲端最小單位:針對雲端環境,根據不同需求,可分別進行三大類別評估,雲原生環境內部錯誤設定評估 (Cloud-level Misconfiguration Assessment, CMA)、雲端內 OS 內部錯誤設定評估(OS-level Misconfiguration Assessment, OMA)、雲端內 OS 弱點評估(Vulnerability Assessment, VA)。
可視化報表助企業內部資安溝通:可視化清楚呈現資安環境分數,讓非資訊專業的高層人員,可以快速掌握資安環境概況,及時調整企業策略。