跳過主内容

落實資料保護機制 微軟與眾夥伴強化企業營運韌性

軟資安全球黑帶技術專家唐萬容則認為,公司與供應鏈間密切的相依性,將使得駭客透過入侵供應鏈廠商的弱點。為避免此類發生,企業應該透過持續性的探索定義出受攻擊面邊界,才能進一步分析潛在的風險、威脅及可能的衝擊,並設定處理優先權。DIGITIMES攝

層出不窮的各種資安事件,讓企業開始意識到資安防護的重要性,紛紛擴大在資安領域的投資。金管會更透過修改公司法方式,要求上市櫃公司需在指定時間內設立資安專責單位,藉此強化安全意識與做好安全規劃。2023年3月17日Microsoft與DIGITIMES共同舉辦「數位造局 資安並行」企業資安高峰論壇,邀請各方專家與會,分享最新資安趨勢與方案,助企業強化數位韌性、建構安全環境。

2023年迄今沒多久,台灣已傳出華航、iRent等上市櫃公司被駭客入侵,且爆發個資外洩的重大資安事件,對消費者權益帶來極大影響。為此,2023年3月9日金管會要求各上市櫃公司,需從資訊揭露層面、公司治理層面、監理協助層面等三大面向,強化整體資安管理工作。若資安事件造成公司重大損害或影響,必須在台股開盤前2個小時以前要對外發布重大訊息,若未揭露依法可處以3~500萬元罰鍰。

在「從資料保護及合規談資安」的分組論壇上,安永企業資深經理藍健銘說,在消費者意識抬頭下,世界各國幾乎都已制定一套消費者資料保護法,我們建議企業應該從識別、標示、保護、監控、持續改善等方法著手,才能符合法規要求。安永推出的資料保護控制架構,以自動化、整合和可持續性為重點,可協助企業加速導入合適的解決方案,在保護資料安全、符合法規要求外,也能維持得來不易的商譽。

落實資料保護機制 可減少資料外洩事件

在駭客攻擊手法持續進化下,全球各地持續爆發規模不一的資料外洩事件,其中最著名案例,莫過於Facebook有高達5.33億筆用戶個資遭張貼在駭客論壇上,該公司因違反GDPR規定,被主管機關處以2.65億歐元罰金。至於近期台灣最嚴重外洩事件,則是前述提到的華航、iRent等,而綜觀現今發生資料外洩主因,可分成外部安全性漏洞、外賊惡意攻擊、人為疏失、內鬼洩漏機密等四大類,最終都將造成難以估計的經濟損失。

儘管企業已體認到強化資料保護的重要性,但若要落實相關資料保護機制,正面臨資訊技術、使用者行為、管理政策等三大挑戰。如在混合雲環境下,資料存放位置跨越雲端與地端,加上行動裝置普及、遠距辦公、BYOD等趨勢下,也讓資料管理工作變得更為複雜。

自由系統執行長俞伯翰指出,為協助企業做好資料保護工作,我們特別代理備受全球用戶肯定的Microsoft Purview。這套雲端DLP具備通訊合規性、資料外洩防護、資訊保護、內部風險管理等四大特色,可偵測、調查貴組織中的關鍵風險,並對其採取行動,包括資料竊取、資料外洩和安全性原則違規。Microsoft Purview會運用機器學習演算法等機制,偵測符合DLP原則的內容,並透過預先定義的DLP原則,保護公司內部的敏感資料。

「為協助因應雲端合規挑戰,我們建議企業可考慮Microsoft Defender for Cloud,這款產品具備雲端安全性狀態管理、雲端工作負載保護平台等功能,能部署於雲端或混合雲環境中。」雲馥數位雲端技術服務處主任蔡嘉豪解釋:「Microsoft Defender for Cloud會針對系統安全性風險進行偵測,並提供建議動作來保護 工作負載,能有效降低資料外洩風險。」

做好雲端資料保護 微軟推CAF架構

隨著企業對公有雲服務日益依賴,其背後也隱藏資源盜用(取得帳號權限 、 挖礦、DDoS)、身分權限設定異常(如掌握使用者帳號、帳號提權)、資料規則設定異常(變更資料規則、存取、洩漏機敏資料)、應用程式面漏洞(如開源軟體使用頻率、潛在風險漏洞)、惡意流量(如惡意程式入侵、與外部持續通訊)等風險。

宏碁資訊雲端架構顧問林祐毅表示,為讓企業能安心使用Azure平台上的各項服,微軟雲端採用安全架構-Microsoft Cloud Adoption Framework for Azure,這是一個幫助企業、組織或個人使用雲端平台的架構,讓企業在雲端平台上更容易地設計、開發、部署和管理應用程式。該架構提供有效率與豐富完整的參考指引,在可被控制與穩定的前提下快速實現成果,並確保業務面、人員面與技術策略面等一致性,能達成業務目標、強化整體營運韌性。

近期各地持續發生各種供應鏈攻擊事件中,企業必須了解供應鏈必須被視為受攻擊面的延伸,因為公司與供應鏈間密切的相依性,將使得駭客透過入侵供應鏈廠商的弱點,進而對公司發動攻擊。微軟資安全球黑帶技術專家唐萬容則另認為,為避免此類發生,企業應該透過持續性的探索定義出受攻擊面邊界,才能進一步分析潛在的風險、威脅及可能的衝擊,並設定處理優先權。而做好外部攻擊面管理(EASM),正是有效降低組織風險及漏洞的基礎。

要防堵駭客入侵事件發生,除弱點掃描、滲透測試之外,引進紅隊演練服務,藉由攻擊者與防守者對抗過程找出攻擊途徑,也是近來主流。數聯資安資安服務處處長陳宏昌舉例,所謂紅隊演練是由資安專業人員組成攻擊方,模擬駭客突破網絡安全控制,企業可從對抗過程中,找尋可被利用的弱點,進一步提權及橫向移動到目標主機,最終強化組織整體的資安防護能量,而數聯資安則是少數能提供此服務的業者。

綜合以上內容,無論是資料保護及合規談資安、或者是建構企業數位資安韌性,面對無孔不入的惡意威脅,企業應該持續落實各項資通安全防護工作,微軟也將與眾夥伴推動持續精進安全架構,協助數位發展企業有效強化營運韌性,因應來自四面八方的挑戰。

本文轉載自 DIGITIMES