掌握雲端資安風險 兼顧營運與發展需求
過去幾年全球企業資安意識明顯提升不少,在享受雲端服務帶來的便利性之餘,也開始擔心背後衍生的資安風險。
採訪/施鑫澤‧文/林裕洋‧刊期/2023.08
面對變化快速的商業環境,愈來愈多企業開始選擇引進公有雲服務,除可免去採購大量硬體設備的費用,以及後續維運成本外,也能專注在自身最擅長的業務上。尤其是在疫情大爆發期間,更加快企業運用雲端服務推動數位轉型的速度,透過遠距辦公機制兼顧防疫與商業運作等多重目的。而因應此波浪潮,金管會也宣布將透過修正金融業委外辦法,放寬金融業上雲規定,未來只有重大消費金融應用需要放到境外公有雲,以及主管機關指定類型,才要需要提出申請與取得核轉,其餘項目皆不用申請。
只是過去幾年在駭客擴大攻擊面向下,全球企業資安意識明顯提升不少,在享受雲端服務帶來的便利性之餘,也開始擔心背後衍生的資安風險。在現今資安攻擊手法日益進化下,根據 CIO IT 經理人公布的 2023 CIO 大調查,有 58.6% 企業非常擔心雲端安全的問題,期盼能找到兼顧工作效率與安全的最佳方式。
遠傳電信資安長朱建國指出,企業在關注雲端資安問題之前,必須要先確定上雲的目的,如想運用雲端資源解決哪些問題、決定上雲的策略,才能進行後續的技術評估。雲端服務簡單可分成 IaaS、PaaS、SaaS 等三部分,此三大服務對資安要求也不大相同,若企業是使用 SaaS 服務,所有相關資安問題自然是交給雲平台業者解決,自身只要做好身份管理的工作即可,避免發生帳號被竊取或盜用的問題。相較之下,當企業使用 IaaS 服務取代傳統資料中心,那代表得自行維運雲端基礎環境的運作,這自然也包含最重要的資安部分,若沒有搭配雲端資安服務,恐怕會衍生出極大的營運風險。
雲端資安需靠企業 公有雲業者不負責
功能日益健全的公有雲服務,早已成為企業不可或缺的重要支柱,是快速回應市場需求、啟動專案的重要支柱。只是很多企業對雲服務有很多誤解,首先是將資訊中心或服務遷移到雲端平台之後,資安、可靠度等都可交給雲端業者處理。事實上,儘管公有雲業者清一色都有取得 ISO 27001 認證,但這是指資料中心本身的高安全性規範,不代表會負責所有資料保護、資安防護等問題,必須自行選用合適的資安防護工具,但真正有搭配防火牆、入侵偵測等資安模組的企業並不多。尤其許多企業認為的安全機制,與資安專家認為的資安有很大差距,即便系統完成當下確實沒有資安疑慮,但是隨著時間演進也可能被駭客挖掘出新的漏洞、弱點等,若企業沒有在第一時間進行修復,也沒有搭配合適資安設備保護,自然會變成駭客鎖定的攻擊目標。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
朱建國說,舉例而言,公有雲的 IaaS 平台底層可能是 Container、微服務,企業租用之後會在上面安裝各種應用服務,再與其他應用相互搭配與串連,為企業員工或外部消費者提供服務。此時,企業必須自行負責架構面、程式面、資料面及應用元件等安全,而不能僅仰賴 IaaS 平台底層的安全機制。因此,現今很多企業雲服務爆發資安外洩事件,多肇因於對雲服務有錯誤期待所致。
另外,在多雲、混合雲時代,各平台之間的設定亦有很大差距,有時企業在追求營運成本最佳化,或者為特定區域用戶提供服務,會選擇在不同平台上部署合適的應用服務。此時,亦會因資訊團隊不熟悉相關操作介面,衍生出設定上的錯誤,給予駭客更多入侵的機會與管道。
CIO與CISO相互分工 可改善整體資安力
隨著企業對資安日益重視,現今公司內部中的資安長(CISO)與資訊長(CIO)對網路安全皆負有責任,金管會也透過修改法規方式,要求一定規模的企業須設立資安長的職位。根據 ISACA 對 3,700 名左右全球網路安全專家的調查中發現,雖然近半數(48%)網路安全團隊直接向資安長報告,但也有四分之一是向資訊長報告。但儘管報告系統不同,但是在調查報告中顯示,資安長與資訊長的安全性職能主控權方面,如在網路攻擊的增減、偵測與反應網路威脅的能力,以及網路犯罪報告等,彼此負責並沒有明顯差異。
事實上,過往台灣有 70% CIO 兼任 CISO,所以幾乎沒有相互理解、責任分工的問題,資安策略落實程度取決於營運高層團隊。而近兩年因應金管會推動的法規要求,除開始設立專職 CISO 外,也可能會聘請獨立董事扮演資安顧問。只是現今 CISO 肩負壓力比過去大很多,因為若爆發資安事件,且公司沒有落實資安義務時,可能得負起一定的法律責任。因此,CIO 與 CISO 之間的溝通、協同作業能力等,也成為企業在資安防護工作上的核心要素。
朱建國表示,在資安備受關注的當下,CIO 與 CISO 之間都有一定的共識,彼此之間會對相關工作做好區分,有些專案會由 CIO 主導,CISO 扮演第二線的角色,有些則是 CISO 主導執行,CIO 則是採取全力配合的做法。畢竟現今大部分產業 人員的配置上,IT 部門規模遠大於資安專責部門,彼此之間得相互確認人力可否承擔相關專案。如遠傳電信推動資安專案時,CIO、CISO 會共同檢視人力配置,以專案角度思考執行單位,所以彼此之間合作非常順暢。
落實資安風險評估 預算效益最大化
近幾年隨著台灣成為駭客鎖定的攻擊目標,愈來愈多企業都陷入遭到勒索軟體攻擊的惡夢。在 CIO IT 經理人公布的 2023 CIO 大調查中,有 22.7% 受訪企業表示企業年度預算重點項目會放在資安與隱私,21.3% 會放在網路與網路安全上,代表資安已成為多數企業的共識。
只是各家企業的規模、營運特性迥異,在每年編列年度預算有限的狀況下,如何以合理預算建構合宜的資安防護機制,儼然成為資安長的最大挑戰。朱建國認為企業在編列資安預算之前,應該要先進行風險評估工作,了解自身對資安事件的忍受程度。鑑於顧問公司有時風險評估服務費用較高,在兼顧預算效益最大化,以及後續資安專案導入過程中,也需要技術專家的支援服務,所以亦可考慮與資安服務公司合作。
[ 推薦閱讀:資安長必須能夠回答軟體供應鏈攻擊的五個問題 ]
「資安建置與買保險的概念很類似,每家公司都應從需求而非從預算出發,因此首要工作自然是了解目前面臨的風險類型與規模。因此,企業編列的資安預算是否足夠,基本上取決於對風險認知及忍受程度,若企業認為此類風險會影響到公司發展,自然應編列適切預算進行必要的資安建置。」朱建國解釋:「若企業一開始對風險評估較不熟悉,建議可先與資安服務廠商合作,廠商可協助從資安整體角度出發,評公司的整體的健康狀態,比較貼近企業主的角度。因此,後續公布的資安風險報告結果,通常也比較能被企業接受與實施。」
除委託外部專家之外,由於員工非常了解公司營運特性,所以企業可考慮讓員工接受相關訓練,了解資安風險評估作法與目的,並且將風險轉換成易於理解的數字,例如損失的金額等等,自然可產出適合公司的風險評量報告。
AI 維運難度高 應從自動化著手
過去幾年受惠於 AI 晶片運算能力大幅飆升,加上相關演算法持續進化,AI 應用領域愈來愈廣泛。而 ChatGPT 問世之後,受惠於生成是 AI 與大語言技術的加持,讓人類對 AI 有更多想像,特別是在現今資安人才不足的狀況下,若能運用 AI 來降低資安維運工作,將可望進一步提升整體資安防護力。
儘管現今已有不少駭客組織著手運用 AI 開發新的攻擊手法,亦有資安業者將 AI 技術、機器學習等融入資安防護產品,藉此強化辨識惡意威脅的能力,但要用於資安實際維運、降低人力需求,現階段難度仍高、也需一定費用投入。首先,企業必須先建立完善的資料收集環境之後,才能進入AI 分析建模階段,光是這部分就得耗費不少成本與人力,已非多數企業能夠負擔。其次,AI 在學習過程中能否自主辨識資安異常,也讓人心中存有疑慮,屆時恐怕得要花費更多人力在資料處理與模型訓練上,不然帶來效益恐怕低於想像。
朱建國指出,若 AI以 SaaS 方式提供服務,應該會有發展機會、也令人期待。如金融業需要進行風險評估時,只需要依照系統要求輸入特定參數,就能取得完整的風險評估結果,確實能降低資訊專家的人力負擔,讓用戶以更低成本取得相關服務。但實務上資安工作複雜,相關處理的資訊也較為敏感,實際應用仍有許多挑戰需要克服,現階段比較可行方式是以自動化機制減少人為介入的比例,讓寶貴人力運用在更重要的事物上。
如某帳號通常都是晚上 6 點登出系統,但當出現晚上 10 點登入的狀況時,只能將此視為異常狀況,是否為資安事件?後續還得仰賴資安人員判斷處理。此種類型很難透過既有的電腦日誌紀錄來描述,不易讓 AI 系統學習與建模,因此可預期應用AI於資安維運上,還需要很長一段時間。
CIO 轉向 CISO 首重技術與風險意識
在全球資安人才不足,加上金管會要求區設立資安長職位,目前市面已有不少學校設立相關專班,如台科大的資安專案,助企業培育資安長。考量到資安長招募不易,部分企業也會希望 CIO 能轉任 CISO 職位,除可立即符合法規要求之外,也由於對公司組織架構、資訊系統規劃較熟悉,以及知道面臨資安風險為何,比較能在短時間內提升整體資安防護力。只是此種做法,背後也有不少風險需要克服。
朱建國指出,CIO 轉向 CISO 有幾件事情需要思考,首先不能離技術太遠,否則無法了解資安事件發生的根因,會讓整個資安防護機制無法發揮預期效果。CIO 主要是負責大方向的規劃,但是資安長是必須大方向、小細節兼顧,因為很多威脅都隱藏在細節之中,若沒有審慎看待每個微小事件,恐怕會讓企業陷入風險而不自知。
最後資安長也得具備足夠的風險意識、視野必須夠高,能在最短時間內衡量公司應該要被處理的問題,並且做出最好的決策。特別是資安長也須了解資安團隊的分工模式,因為有些人是專門處理資安事件、有些人是專門看資安報告,彼此之間的專長不同,適當配置才能發揮資安團隊的最大效益。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
