手机游戏巴士

资安长的聪明工作秘诀,前美国国家地理空间情报局资安长告诉你

发表于:2024-11-15 作者:admin
编辑最后更新 2024年11月15日,「任何希望想要变成资安长的人,小心你许的愿望」,曾担任过美国国家侦查局、美国国家地理空间情报局资安长的Lance Dubsky,打趣地说着,资安长这份工作让头髮茂密的人也会变成光头。 过去Lance Dubsky得到处视察美国空军亚洲各地基地的资安基础架构,现在则

「任何希望想要变成资安长的人,小心你许的愿望」,曾担任过美国国家侦查局、美国国家地理空间情报局资安长的Lance Dubsky,打趣地说着,资安长这份工作让头髮茂密的人也会变成光头。

过去Lance Dubsky得到处视察美国空军亚洲各地基地的资安基础架构,现在则进入业界,在英国航空零组件製造公司Meggit PLC担任资安总监,这是Lance Dubsky第3次担任资安长,但所带领的资安团队规模,却从250人,减少到现在只有11人,「当团队很小的时候,资安长必须要用更聪明的手法做事。」他说。

没有策略,别急着採购资安产品

Lance Dubsky表示,企业发生资安攻击事件时,CIO常遭责难,但这并非他的错误。而是因为许多企业仍有许多使用超过10年的老程式或基础架构,就算有相当高的风险,但企业内部员工往往因习惯既有的操作模式,极力说服资讯长不要汰换。

「资安预算通常只占IT预算中的5%」,这么有限的预算如何发挥最大效益呢?Lance Dubsky认为,企业必须聪明的投资,「资安长不应该在还未建立具体策略时,急忙投开始添购资安产品。」首先,资安长得先了解现有基础架构、应用程式的运作情况,「掌握企业目前的风险程度。」

他举例,资安长的职责之一,就是评估既有资安设备的存在价值,并建立资产清单。他表示,有时企业重複购买目的相同的资安设备,却浑然不查,「为什么要重複买不同厂牌,但功能一样的漏洞扫描工具或防火墙设备呢?」

「资安长必须时时追问为什么。」Lance Dubsky观察,许多企业IT部门常会要求採购新颖资安设备,还威胁若不赶紧採购,企业就会遭受资安攻击。他表示,资安长必须马上介入,追问IT部门,为何必须要採购这些产品,真的急需吗?

不过,有时资安长也会对现况过于乐观,「其实企业早已经被入侵,只是还没发现,」因此他建议,企业资安长必须赶紧拟订财务计画,建立公司内部的资安计画。

预算有限就靠委外,但要做好厂商管理

在资安人力有限时,Lance Dubsky认为,企业必须仰赖外部服务,像是外部防火墙、入侵侦测服务,以及渗透测试,才能以有限预算建立起足够的资安防护。其实人多不一定好办事,像他目前带领的资安团队只有11人,「目前我们不想部署太多人力,过多员额会带来负担。」在企业导入更多外部资安服务的同时,厂商管理(Vendor Management)的任务也随之而来。Lance Dubsky表示,过去他引入某家资安厂商的防火墙服务时,却因为厂商错误设定防火墙政策,导致服务中断,因此他也决定撤换新的服务供应厂商。

随着资安事件、网路诈骗层出不穷的发生,许多不法人士已经着手瞄準这一块黑色产业的商机,「比起做合法职业,非法利润来得更高。」他观察,出现了组织型犯罪集团,运用不同的恶意软体,向企业发起多阶段、多维度的资安攻击。

内部使用者的不当操作,让资安威胁雪上加霜,Lance Dubsky表示,无论企业如何进行内部教育,仍无法完全杜绝员工无意间打开了钓鱼邮件的恶意连结,「只要有一个人犯错,企业内部的资讯就很有可能外流」,美国政府多起资安事件也正是这种不良的电子邮件使用习惯所致。

落实组态管理是系统长期安全的关键

Lance Dubsky也表示,企业必须建立基本的资安习惯,「光是如此就能降低80%资安攻击事件的发生。」他举例,近期许多诈骗事件,都是透过社交工程手法,犯罪者假冒企业内部员工,向IT管理者索取帐号、密码等资讯,藉此取得系统权限来窃取机密,为了减少此事风险,他建议,企业应该集中握有最高登入权限的员工帐号强化管控,「与其给予1千人最高登入权限,不如将规模缩小至40个人,降低意外发生的机率。」

除此之外,Lance Dubsky表示,企业想要打造安全的系统,不只是设计阶段要注重安全,后续维运上,「确保组态设定的正确性更重要。」他观察,许多企业自行开发的系统一开始很安全,随着时间过去,组态设定经过许多次调整后,就开始出现了风险。因此,资安长得意识到「组态设定管理的重要」,疏于组态管理,甚至让任何人都有权更动,这将降低内部软体的安全性。

将软体更新变成习惯

另外一个大家都知道,但却不一定能落实的基本动作就是定期更新软体,「最好使用最新版本。」Lance Dubsky强调:「更新能帮资安长打造安全的企业环境」。许多企业、组织仍在用超过20年的Windows NT作业系统,像是他曾过境哥斯大黎加,却发现当地机场的护照系统,仍然部署于Windows NT。若因预算有限不能时时添购最新版本,退而求其次,「至少必须使用目前厂商还有支援、更新的版本。」

最好将定期更新系统变成习惯,「我一直认为更新是个好习惯,企业可藉此减少风险」,Lance Dubsky表示,软体更新步调慢,自然就会成为骇客的主要攻击目标,尤其是政府机关。「骇客很清楚这件事,自动会找简单的目标下手。」因此他建议,只要厂商一有更新,企业马上下载、部署新版,「就可以大幅度缩短暴露于风险中的时间。」

赋予员工质疑命令的权利

除了这些基本但容易疏忽的作法,Lance Dubsky认为,强化企业对内对外的沟通,也有助于降低资安风险。他举例,财务部门是企业处理外部订单、汇款作业的单位。若其中一位员工收到财务长来信,要求该员改变既有企业客户惯用的汇款帐号时,「究竟会有多少员工敢质疑这封信的真实性?」其实不多,因此,他建议,企业高层主管必须赋予员工足够的权利,鼓励员工若收到这类可疑的电子邮件时,主动提出质疑并且向上回报,来减低造成企业损失的机率。

资安长得和企业往来公司建立紧密沟通关係

甚至不只是假冒高层来诈骗内部员工,他举例,许多精明的网路犯罪者,会利用窃取到手的内部资料,假冒企业名义,以伪造的企业网址、电子邮件,向企业的合作厂商、往来企业、诈骗订单款项,「如果不注意,往来企业的财务人员也很容易就会汇款。」因此,有商业往来的企业间在资安上也要互相合作,建立一套沟通SOP作法,像是遇到变更汇款帐号等重大财物决策异动时,不能仅靠电子邮件沟通,还必须透过正式公文程序来确认。同时,企业也可以加强与网域代管服务业者的联繫,当出现盗用企业名义的可疑注册网域时,也能获得通知。Lance Dubsky建议,资安长必须与各关係企业建立一套紧密、定期来往的沟通网路,尤其是与旗下供应商、伙伴及客户所形成紧密的生态系,资安长得了解所属公司上下游厂商的交易型态,也能避免企业成为资安事件的受害者。

强化资安与IT服务加速并不冲突

「对资讯长而言,资安是一种选择」,他苦笑说,若为了加速营运步调,没有将资安视为首要,「这反而让产品变得很危险。」Lance Dubsky表示,资讯长的目标是推出更多资讯服务、加强服务可靠性,而资安长的职责,是要确保企业提供的服务足够安全,虽然两者有时会产生冲突,「但资安长也可以协助企业加快步调。」他举例,资安长直接派资安工程师参与开发,更快打造出安全的系统,藉由双长合作来创立双赢。Lance Dubsky认为,称职的资讯长会做出正确的决定,在开发阶段之初,就加强资安。

0