在上個月剛結束的台灣資安大會(CYBERSEC Y2021 Taiwan)我們觀察到在疫情影響下,多數企業面臨更大的壓力必須加速推動數位轉型,而資訊安全也就相對地成為數位轉型需求下的其中一項關鍵投資。我們藉著參展的機會同步對展出期間前來我們攤位參加資安講座、了解我們產品的客戶進行了問卷調查,我們意外獲得從客戶觀點所形成的資安趨勢洞見。
現有解決方案無法滿足51~300人中小企業對資安的需求我們針對受訪者工作性質及擔任資安工作的角色做了分析,發現到的第一個重要觀察:多數企業仍是以IT人員兼任資安工作居多,雖無法確認專任負責資安工作的比重,但這卻是台灣企業資安工作普遍不夠妥善的關鍵之一。因為從關心資安的相關應用與解決方案進而主動參觀資安大會及聆聽演講的受訪者,在企業中所扮演決策者角色的只有兩成左右,另外有三成是使用單位,最多的則是擔任評估與建議的角色。(參見圖1.)
因此我們可以想見的是:企業真正了解資安的趨勢、及相關的應用服務的決策階層並不多,而且多數是透過專業的資訊人員來協助搜集資訊與進行規劃評估,是否會造成使用資訊系統的單位自己評估該怎麼防守,而容易只考慮資訊系統的效能與便利而忽略了資訊安全的嚴謹性,抑或是容易因擔心預算排擠而不願意擴大資安的投資,這些都是IT兼任資安工作及決策者參與程度不足,容易會衍生的風險。(參見圖2.)
從我們所訪問的客戶回填的資料意外的發現,關心及在意資安問題的企業以51~300人規模的中小企業佔比最高,這某種程度也表示在這一個區塊規模的企業,目前正感受到資安問題對他們的威脅,其次就是1,000人以上的大型企業及50人以下的微型企業,這兩種規模的企業有相同比例對於資安的問題是感興趣的。(參見圖3.)
因此我們大膽的推論:目前無論國外的資安防護產品、或是國產的資安解決方案,甚至是資安專業檢測服務的能量,對於中小及微型企業所提供的相關服務是不足的,也因此他們急需有更多的資訊與更多的幫助,才能夠滿足他們在資安方面的需求與期望。
另一方面,我們也對受訪者詢問了企業現有的資安防護,同樣的讓我們有頗為意外的發現:一般具備基本資安概念都會做的「網路安全」、「上網安全」,企業已經有很高比例的投入,而且對於「端點安全」的使用也蠻高,這驅使我們的好奇因此進一步的深入探究發現,許多企業會將每一部電腦所裝置的「防毒軟體」認為是端點防護的一種,因此在調查上而產生這樣的結果。但以目前資安防護的概念而言,防毒軟體多數採用黑名單方式阻絕病毒入侵,屬於靜態且被動防禦的舊式工具,而較為先進的EDR或MDR則是以雲端或落地的進階方式,並採可即時更新攻擊模式、或輔以持續遠端監控報告的主動防禦,因此後者可以真正稱之為端點安全的機制,但多數消費者則未必清楚。(參見圖4.)
其實真的有許多客戶以為電腦裝置了防毒軟體,就是做基本的資安防護了!也因此,防毒軟體幾乎已經成了企業資安的標準配備,所以我們也對受訪者詢問了他們使用的防毒軟體廠牌,不意外的Trend Micro 市佔率最高,而其他國際大廠則是以市場曝光程度影響其佔有率,但令人擔憂的則是知名的S廠牌的資安產品部門已經於2019年被美國通訊晶片大廠併購,台灣本地的售後服務與支援已經銜接不上,但仍有為數不少的客戶使用,可見國內許多企業客戶對於裝置的資安防護方案,是否定期的更新與持續簽訂維護合約,是令人擔心與存疑的!(參見圖5.)
那麼國內的企業客戶對於資安的未來又有哪些規劃呢?從我們的調查中可以看得出來:企業仍相信「網路安全」是重要的資安防護,但因為近兩年來勒索病毒入侵事件層出不窮,也凸顯出企業過去對這個部分的部署不足,未來在「勒索病毒防護」應該會持續強化,而比較令人擔心的是針對資安管理層面的投資,企業對於制度面的控制與加強似乎比較不願意投資,其實、這些資安檢測工作有如一個人應該要做定期健康檢查的道理一樣,及早發現問題才能夠及時進行防堵及做好預防措施,特別是「資料外洩防護」及「上網行為」的管理等等制度建立,應該是各項軟、硬防護工具的最佳搭配,因為除了有效的防護工具以外唯有制度面規範並落實,才能夠真正的做好資安工作。(參見圖6.)
資安已經成為未來企業的重要課題,但是身為企業的資安人員或是決策的主管,必須要知道的是真正在第一線執行資安工作的人員,他們最常遇到問題與困難是什麼,我們也藉著這一次的調查嘗試去深入的了解。
最大的問題還是:深怕資安出狀況、卻又要不到足夠的預算!其次是員工的資安意識難以建立,而這兩個問題其實不是資安人員能夠解決的,關鍵還是在企業的領導與決策階層必須有重視資安與落實做好的決心。另外從這一個問題中發現到:資安人才在企業是欠缺的,而且以未來的發展趨勢而言,企業必須思考如何在組織中有健全的發展機會提供給資安領域的專才,才能夠真正地建立起企業資安的防護基石。
而在企業現有的資安防護措施中,資安人員最常遭遇到的問題又有哪些呢?最大的困擾就是:無法確定防護的成效!因為沒有任何一個單一的解決手段或是防護工具可以保證萬無一失!資安就像是建構一個安全防護網,不是一個單點的防禦,更因為駭客攻擊與滲透的型態會不斷的改變,所以無法用一個時間點的投資就一勞永逸,必須持續不斷的進行維運與因應。
也因此,企業若不是自己本身就擁有足夠的資安專業人員,其實最好的方式就是透過專業資安公司的技術服務支援,例如:持續性的網路安全監控(7X24 SOC / Security Operation Center)、託管式的端點防護(MDR)、訂閱式網路安全防護、訂閱式資安檢測與掃瞄服務 等等。這樣的方式不僅可以將預算有效地發揮到資安的工作上,更可以彌補企業本身資安技術能力不足的問題。
總結而言,企業要做好資安工作就應該要從決策層面訂定清楚的策略,並且以專業分工的組織來負責資安工作的執行,同時可以藉由與專業資安廠商的服務支持,而非單純的購買硬體或軟體的概念來土法練剛,我相信要做好資安防護是每一個企業無論規模大小都能夠做得到的。
