勤業眾信籲整合威脅情資 建立資安應變機制

2017/05/18 - 魏淑芳

時至今日，資安攻防已是不對稱戰力之競爭，單一企業愈來愈難以對抗有組織、且專業分工的駭客集團。

勤業眾信聯合會計師事務所風險諮詢服務協理陳威棋認為，在數位創新時代，資安管理已成為安全體系的對抗，而速度正是決勝關鍵，因此企業必須做好三件事，一是藉由管理與技術縱深防禦，強化固有風險有管控之成熟度；二是透過技術檢測與威脅分析，提高體系弱點評估與威脅情資分析的能力與速度；三是經由攻防演練與事件應變，提升資安事件應變速度及能力。

陳威棋接著說，Gartner於2014年2月提出「預防無用論」，意指企業絕對無法成功阻止針對性攻擊，故企業應永遠假設正在遭受攻擊，整體性的持續防禦流程，遠比預防駭客攻擊更重要。

由此觀之，企業當務之急，應將傳統資安防禦能力，提升為主動威脅情資的運用，把外部各種資安情資、內部資訊架構所遭受的攻擊與潛在弱點，統一彙整至管理階層進行決議，以期有效因應數位科技帶來的資安風險。

善用威脅情資  強化資安戰略決策

論及威脅情資應用與管理流程，依序蘊含「情資來源規劃？修正」、「情資蒐集」、「情資處理」、「情資分析」與「情資訂閱」五個環節，彼此緊密串聯為生生不息的循環。

至於常見的威脅情資類型，源自幾個重要途徑，包括針對暗網論壇及網站的監控；藉由社群網站、弱點資料庫、資安專家部落格與資安新聞網站分析最新資安議題；商用授權資安威脅情資、司法單位或Global資安情資之彙整；蒐集各產業資安威脅資訊及資安事件、並提供客製化產業資訊分享；透過各種公開資訊尋找與獲取情資，包含Blacked IP/Domain/URL、惡意程式樣本Hash、IOC等；監控社群網路及媒體消息，確認企業品牌目前是否有資安議題、資料外洩等負面消息。

陳威棋建議，企業亦應參照NIST或ENISA等國際組織標準，建立屬於自身的資安事件應變機制，一方面可按事件管理組、網路支援組、系管支援組、資料庫支援組、應用系統支援組等功能分類，建立資安應變的虛擬組織，二方面針對高風險業務活動，考量外部威脅情資，設計與實施攻防演練；總括而論，企業必須全力將威脅情資淬鍊為戰略策略。


圖說：勤業眾信協理陳威棋。