戴夫寇爾股份有限公司 翁浩正
打造從認知、策略到控制的週期性資安防護
首先,建立資安的三要素是安全認知意識、安全策略及安全控制。企業必須要先建立安全認知意識,經過盤點需求、排定優先順序並投入資源後便能擬定應急的資安策略,然後建立能因應真實風險的安全控制,這是一個周而復始的循環,企業可藉此不斷地提升安全性。
網際網路安全中心(CIS)所推出的關鍵安全控制(Critical Security Controls)目前已進展到7.1版,其共有20項安全控制措施,前6項為基本型安全控制,包括(1)硬體資產盤點與控制;(2)軟體資產盤點與控制;(3)持續進行弱點管理;(4)控制系統特殊權限的使用;(4)在行動裝置、筆電、工作站與伺服器的硬體與軟體採行安全組態;(6)稽核紀錄的維護、監控與分析。翁浩正表示,這6項是每個組織都該實施的基本禦措施,而導讀文章的作者則推薦前五項控制措施。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
在20項安全控制措施中,共有10項建置基礎型安全控制,包括(7)電子郵件與網頁瀏覽器防護;(8)惡意軟體防禦;(13)資料保護等等,其為技術面的最佳實務,讓資安人員更快速掌握資安情況。另外,第17項到第20項則為組織型安全控制,其涉及了策略、 人員、流程、技術與資訊。
首先就第1項來說,所有資料外洩的發生,有高達90%是由於釣魚攻擊與社交工程所導致。對此,可以透過技術面控制措施(如防火牆、反惡意軟體、反垃圾郵件等)以及訓練的結合來與之對抗。
看精彩現場影音>>>
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
(本文授權非營利轉載,請註明出處:CIO Taiwan)
