防禦、監控與應變多管齊下 實現資安趨吉避凶

在2017年開春，台灣驚爆史上第一起證券商集體遭DDoS攻擊勒索事件，震撼程度堪與一銀ATM遭駭事件等量齊觀；著眼於此，金管會開始要求所有金融機構，須因應DDoS防護需求，切實建立監控、事故應變等機制，並於每年至少實施一次程序演練。因此若說DDoS是2017年重大資安議題，理應不為過。

勤業眾信聯合會計師事務所風險諮詢服務協理陳威棋認為，事實上2017年值得關注的資安課題，並不僅止於DDoS，尚有其他重要項目。

首先除了金管會要求銀行須於5月20日前完成App安全檢測，必須依行動應用App基本資安檢測基準.V2.1版進行29個項目之檢測，另近期行政院消保處經調查發現，包括超商、大賣場、行動銀行及通信服務等民生相關App，普遍蒐集過多個資，於是要求前述民生App，發布前檢視App所需權限及蒐集個資應與提供服務一致。

其次，2016年期間發現，基於特定版本Apache Struts 2弱點，允許攻擊者遠端執行任意程式碼漏洞，等於讓駭客堂而皇之取得企業網頁伺服器控制權，堪稱重大危機；歷經此風波，國際上的資安風向球，不再環繞於防火牆、IPS等老生常談的防護設備，而是高談網路威脅情資分享。

回顧以往，一旦出了大事，多由主管機關要求轄下單位加強防禦措施，此被動模式儘管在日後仍無可避免，但已隨著情資分享觀念成形，逐漸朝向主動制敵機先的方向推進。比方說現今金管會明確要求各行庫，必須獨立建置資安專責組織來處理資安管理，亦要求該組織應具備幾項必要機制，首先便是網路威脅情資能量，接著則應建立資安應變能量。

防範未然  企業宜建立事件應變能量

陳威棋強調，不論資安趨勢如何演進，當年熱門議題如何變化，萬變不離其宗，企業宜以16字箴言，審慎因應今後接踵而來的資安威脅，它們包括了「權責義務」、「瞭解環境」、「鑑識概念」與「外部情資」。

早期企業資安管理的重心，僅偏重事前預防，對於事中監控的著墨程度稍微少了一些，至於事後應變，更是明顯欠缺，所以展望未來的當務之急，便是趕緊補上危機處理SOP，把應變程序步驟、以及每個人應負的權責角色定義清楚，再搭配必要的攻防演練，將定義好的劇本確實執行過一遍，如此才能明白瞭解環境現狀，自我診斷不足之處何在，再據此調整組織、程序與人員等資源配置結構，設法將資安體質調理到最佳狀態。

值得一提的，在建立資安應變機制的過程，舉凡透過鑑識概念的建立，藉以回溯事件的原貌，並強化證據的保全，乃至於引入外部威脅情資，再與內部情資進行綜合性判斷、比對，作為資安決策依據，皆可謂不容或缺的重要環節。

陳威棋說，勤業眾信藉由旗下資安科技與鑑識分析中心實驗室，提供有關證據保全、事件分析等數位鑑識服務，不僅行之有年、深具經驗，也已取得國際認證，並獲法院認可，具有等同於調查局、刑事警察局的鑑定效力。

儘管如此，他仍建議企業在承平之時，便應及早培養鑑識認知，並建立相對應的標準程序，秉持未雨綢謬原則，儘可能完整保存數位證據，否則萬一什麼Log都沒留下，事後任憑經驗老道的鑑識團隊介入協助，恐怕也無力回天。

至於事前防禦、事中監控等方面，勤業眾信可協助企業進行社交工程演練、滲透測試，檢視網站有無弱點，輔以定期執行基本設備與應用相關安全檢測，藉此研判該用戶的事件應變處理流程、監控規則等環節是否足夠，若有不足，再議優化調整管理流程與制度，以打好資安防護基礎。