防骇 关贸:资安永远不会是明天的事
关贸网路副总经理兼资安长方念德呼吁企业将资安落实于日常作业中。(关贸网路提供)
由媒体及第一银行于日前共同主办之「数位转型下的资讯安全防护论坛」,活动邀请到许多专家学者莅临,关贸网路副总经理兼资安长方念德亦受邀现场分享「数位科技应用与资安防护发展」,呼吁企业正视资安议题,透过技术与制度的建立确保资讯系统/软体的安全;要求供应链、资讯供应商落实资讯安全作业,并寻找可靠之资安服务商协助,建立「主动防护」的概念与制度,将资安落实于日常作业,甚至成为企业DNA。
方念德表示,在政府推动「资安即国安战略2.0」政策下,许多企业已开始强化自身资安防护能量,包含硬体、软体、人才,却未重视资讯供应商与供应链厂商的资安。目前国科会已参照美国CMMC 2.0框架,规划推出「供应链资安成熟度平台」,与欧、美、日等多个先进国家同步发展,初期以企业自评方式,未来将交由专业机构评定,加强供应链的资安。
方念德也指出,近年常见的资安弱点有系统老旧、第三方跳板攻击、远端上班难控管及社交工程攻击都是,企业可先盘点现有系统,对风险项目进行评估处理,持续监控及列出应变处理方案。另建议企业将资安视为自身的DNA,凡有资讯系统,从规划、设计一直到验收上线,每个节点都考量到资讯安全,排除一切成为破口的可能,培养员工资安警觉性。
关贸也以自家资安服务为例,建议采用多元防护,以7x24小时全时SOC监控作为基础措施,并搭配APT进阶持续性威胁防护,侦测未被定义为病毒的可疑程式或软体以及不明流量,平日须养成员工对于恶意邮件的警觉性,进行社交工程演练并定期追踪改善,更要有值得信赖的资安顾问服务。