供應鏈競爭力資安成關鍵

越來越頻繁的網路入侵攻擊,美國總統簽署強化國家網路安全的行政命令,金管會也要求上市櫃公司落實資安風險訊息揭露。企業已不能再等出事才開始找藥方,資安也需要教練才能迅速提升企業防駭武力值。
2024/05/22

越來越頻繁的網路入侵攻擊,美國總統簽署強化國家網路安全的行政命令,金管會也要求上市櫃公司落實資安風險訊息揭露。企業已不能再等出事才開始找藥方,資安也需要教練才能迅速提升企業防駭武力值。

過去會編列資安預算的單位,除了政府機構、金融單位之外,就屬高科技製造業需因應國外客戶要求而建置資安防護控制措施。如今金管會已宣布將修法要求上市櫃公司必須在公司年報上清楚敘明資安管理方案、投入資源等資訊,並規定應揭露重大資安事件與資安風險對公司財務業務影響及因應措施。相信在法規約束力以及駭客瞄準供應鏈攻擊等因素影響之下,將帶動不只上市櫃公司投入資安,包括其整個供應鏈相關業者都勢必得開始動起來!

一家受駭 供應鏈上下游都需一起動起來

近年來企業頻頻遭受勒索病毒攻擊或APT目標式攻擊,僅管各種調查顯示攻擊趨勢如何蔓延,受害企業比例攀升,仍有不少企業抱持僥倖心理,認為不會那麼倒霉遭受攻擊,以為有防火牆也安裝防毒軟體就可以萬世太平。姑且不論我們看到許多企業的防火牆沒有妥善維護管理,也不重視防毒軟體及IT環境系統更新,這些資安防護設備及軟體裝了等於沒裝,即便是正常維運的防火牆,也不見得能完全抵擋現今詭譎多變的目標式攻擊手法。

近兩年來許多台灣科技製造業大廠陸續受到駭客入侵及勒索,前陣子先是宏碁印度分公司遭入侵,沒幾日台灣總部的伺服器也傳出被駭,且有疑似員工個資的資料被外洩到駭客論壇上。一旦犯罪集團取得員工部門職稱、email等資料,透過社交工程手法與釣魚郵件對往來的合作企業發動變臉詐騙攻擊,將有極高的可能詐騙成功。

因此不能只以個別受害企業角度來看資安事件而應以整個供應鏈角度,一旦企業受害,其上下游相關往來合作企業與客戶都需有所警覺,才能避免受到波及。美國政府在連續多起針對政府機構與企業的網路攻擊事件後,今年5月總統拜登簽署一項「改善國家網路安全」的行政命令,內容包括建構更現代化與嚴格的聯邦政府網路安全標準,及制定標準強化軟體供應鏈安全等。以避免聯邦政府往來的軟體外包商或資服業者受駭,進而利用其IT系統產品作為入侵攻擊聯邦政府的跳板。

資安防護解決方案百百種從何下手?跟著資安教練快速提升防駭武力值

正是在這樣的趨勢下,金管會修法要求上市櫃公司必須揭露重大資安事件與資安風險的訊息,讓供應鏈與上下游往來企業都能掌握資安事件並提前因應,同時企業也須闡明具體資安作為。對於絕大多數只有防火牆與防毒軟體的企業來說,必須思考能迅速有效提升資安防護力的作法,同時又兼顧佈建多種資安設備或招募資安技術工程師的大筆投資費用。

每家企業隨著規模、產業性質不同,有不同的資安防護需求,例如經營電商的企業需要特別注重服務營運不中斷,有研發或客戶資料的需重視機密資料保護,再加上企業既有的資安防護架構也不同,因此要提升資安防護力需考量各方條件來整體規劃。正如同都是想要健身,有些人以減重為目的,另一些則以雕塑肌肉為訴求,如果想在短時間內達成健身目的,找健身教練規劃專屬的健身方案是最快速有效的方法。而3S資安訂閱服務正是扮演企業資安教練的角色,能依照企業自身條件與需求,給予不同建議,讓企業能有效提升資安防禦的核心肌群跟強健體質。

即使有心想要提升資安防護水平,面對各種資安防禦與監控設備,企業往往不知從何下手。而四大項的3S資安訂閱服務能滿足企業從事前、事中、事後不同的防禦需求。在資安事件發生前,企業需要透過3S防駭定檢服務,每月一次以自動化的弱點掃描檢測找出企業系統潛藏漏洞,並即時補強防護。而3S社交工程演練,則是定期模擬各種主題網路釣魚郵件對員工進行檢測,讓員工提高警覺,尤其各種攻擊極高比例都是從誘騙員工點擊釣魚郵件開始。

至於3S網路安全及3S端點安全服務,則是在資安事件發生當下提供異常通報警訊或擋下可疑連線。僅管多數企業都已安裝防火牆,然而防火牆發出的各種警訊或日誌,若沒有資安工程師進一步解讀分析也無法察覺事件,因此3S訂閱服務最重要的價值是有資安專家在背後提供7x24監控維運,能即時判斷出是否為攻擊行為並協助採取進一步因應措施。資安防護的成熟度是必須從找出弱點、修復補強中不斷的累積,而3S資安訂閱服務則是能幫助企業從只靠防毒軟體、防火牆30分的資安防護水準躍升到70分,正確且有效的提升企業資安成熟度的最佳途徑。