文:工研院資通所資深管理師蔡淑瑜整理報導
2020年,充滿不確定因素的一年,國際受到疫情衝擊,企業勒索病毒事件頻傳,這些也促動各行各業開始理解並導入「資訊安全」的必要性。然而傳統的資安防護已無法因應萬物聯網的技術發展,見招拆招的被動式防禦已不痛不癢,企業需要的,是主動出擊、即時反應與強大復原的靭性能力。
為此,經濟部工業局新興物聯網資安示範推動計畫結合國內最大的資安盛事2020臺灣資安大會,於8月11日至12日舉辦「物聯網資安主題論壇」,共四場子題,內含12場專題演講與1場專家對談,分享本計畫在推動產業資安化的經驗與成果,兩日共吸引1,257人次參與,獲得熱烈回響。
主題論壇從三大面向切入,包括IR & CSIRT 及資安人才發展、物聯網安全(從標準到產業、IoT資安落地實戰),與供應鏈資安標準。以下摘錄要訣,提供企業資安治理的關鍵筆記。
專責的內部資安團隊=急診室醫生
面對數位轉型,企業必須建立「IR & CSIRT安全性事件應變小組」,亦即建置企業內部專責的資安團隊。團隊的核心不在於技術高超,而是具備「急診室醫生」靈活、耐壓、邏輯思考,及處理事件時懂得從大處著手的特質。趨勢科技劉大川資安顧問並提供應變小組五大心法:
(一)看得到-資安事件日誌蒐集、監控與權責
(二)能判斷-資安事故分級分類
(三)有人做-資安事故應變虛擬組織
(四) 能處理-資安事故應變流程
(五) 勤訓練-資安事故演練。
物聯網設備安全=標準依循+情資分享
越來越多的裝置都擁有連線到網路的能力,從日常生活的智慧家電、工作場合的視訊會議系統到國家關鍵基礎設施(油水電)的工控設備,各式各樣的惡意攻擊潛伏在我們的週遭。但是成千上萬的的設備要如何確保安全呢?最好的作法就是在生產設備時就能依循國際的資安標準規範或架構,建立第一道防護牆;設備開始銷售後,透過情資的搜集與分享,進行漏洞偵測與修補,如此形成良好回饋,有助於日後開發出更安全的產品。
供應鏈安全=供應商評級+軟體物料清單
所謂的供應鏈安全,簡單來說企業除做好自己的安全外,當供應商可能有部分網路與企業自家網路介接,或有部分資料與自家系統做交換,便成了駭客的突破口之一,如奧義智慧共同創辦人叢培侃說:「對方的安全也變成我的安全的一部分」。
不論是從網路監測供應商的資安表現,或是透過資安評級評估其資安成熟度,都是很大的挑戰,但隨著全球資安意識的高漲,國際客戶對後門或是隱私保護等的敏感度提升,在國內半導體龍頭的帶頭下,企業漸漸導入供應鏈的資安評鑑,是一個很好的開始。
企業資安評級是公司對公司,若要擴大守備範圍,軟體供應鏈元件安全是必須注意的重點。每一個軟體元件從原始碼、連結檔、執行檔,細到可能用了什麼第三方套件、版本也搞不清楚,這些都是駭客入侵的破口。面對這樣的威脅,若能建立軟體物料清單(Software Bill of Materials,SBOMs),有助於快速掌握資安事件的前因後果。
參考來源:
- 【臺灣資安大會直擊】供應鏈安全層面大剖析,奧義揭露臺灣多起APT攻擊事件都是對方從供應鏈下手 https://www.ithome.com.tw/news/139448
- 【臺灣資安大會直擊】製造商想要做好連網家電資安,需要更快分析大量威脅!Panasonic建立情資平臺來改善分析工作 https://www.ithome.com.tw/news/139427
- 8月11日「新興物聯網資安主題論壇暨計畫推廣系列活動- IR & CSIRT 及資安人才發展論壇」: 您的企業有多耐打資安事故應變能量建立實務 / 趨勢科技資安事故應變團隊劉大川資安顧問
【CSIRT 面面觀座談】專題對談 / 與談人 TeamT5 杜浦數位安全創辦人兼執行長蔡松廷
群暉科技產品安全應變小組經理李宜謙
趨勢科技資安事件應變小組資深經理邱豊翔
