上雲抗疫_從資安策略談企業安全營運(上集)
作者 : 精誠軟體服務_葉文和
各位朋友們大家好:
首先來跟各位說明, 世界經濟論壇在今年1月,提出了2022全球風險報告,按照嚴重程度劃分了的十大全球風險
各位可以看到在簡報的分類 , 綠色的部分佔了一半的比例 ,這些議題都是跟環境氣候相關 , 近幾年來我們大家應該都可以感受到氣候的變化多端 , 許多不利的因素影響了人類生活或是工作的正常性 , 包含交通運輸 ,作物生長, 有許多因為氣候環境的改變造成了非常大的損失 ,(另外還有COVID-19傳染病的問題) 在這些問題之下 , 人類嘗試用科技來解決 , 但是科技對於人類而言 ,一直是兩面刃 ,
所以在科技的方式改變了企業工作環境的情形下 , 同時也衍生出了許多資安的問題
短期風險的部分,「社會凝聚力侵蝕」(Social cohesion erosion)、「生計危機」 (livelihood crises)、「心理健康惡化」(mental health deterioration)榜上有名,三者皆有超過25%的填答者選擇。這種社會創傷(societal scarring) 加劇了國家策略的挑戰,限制了政治資本、領導人的關注以及加強國際合作應對全球挑戰所需的公眾支持。由於地球的健康仍然是一個持續受關注的問題,特別是環境問題,包括「極端天氣」(extreme wheatear)、「氣候行動失敗」(Climate action failure),則被超過一半的填答者認為屬於5–10年期間會造成威脅的長期風險。中期內,「債務危機」(debt crises)和「資產泡沫化 」(asset bubble burst)等經濟風險也隨之浮現。
面對環境的重大改變及危機,「企業效能」與「環境永續」,已經是企業目前必須兼顧的兩大重點 , 要如何在保有獲利的同時,提升企業的永續性,已經是全球企業共同面臨的課題
為什麼企業會開始重視ESG , 因為ESG已經是衡量一家企業經營的績效指標 , 同時也是市場上投資人投資的一個參考標準
在現在營運環境越來越嚴峻的情況下 , 唯有重視環境平衡發展的企業才能永續經營 ; 但要如何落實ESG ? , 方法其實不難 , 企業可以思考運用雲端科技來開始擁抱ESG
身處在雲端時代的我們 , 更應該好好善用雲端的資源!
所以有越來越多的企業重視雲端服務 , 根據最近的調查在今年2022年有將近三成的企業要以上雲的方式來對抗疫情 , 還有許多政府與學校也都會加入這樣的行列
當我們不斷開始運用雲端科技的同時 , 同時間也帶來了許多資安的問題 , 跟傳統的環境相比 , 在雲端的環境中有更多的細節跟做法要注意
相信大家跟我一樣 , 時常在許多媒體上看到許多資安入侵或者是資安攻擊的新聞 , 因此在面對這些問題的同時 ,我們更應該要好好的思考相對應的策略
資安防護的議題一直是一場永無止境的戰爭 , 但是在企業方往往是吃虧的, 因為企業通常是無法隱藏自己 , 即便擁有許多新的設備但仍然無法能夠徹底了解目前自己所身處的威脅
根據資安廠商的調查報告中 , 可以看見不論哪一個行業都有非常長期的威脅潛伏天數 , 平均而言好幾百天是常見的情形!
當我們了解了現今所處環境的情況, 我們又應該如何的去面對及解決
這邊提供一個資料跟大家一同討論 , 就是行政院在去年2021年的9月如果的時候通過了資通安全管理法的修訂 , 這次的修訂有3個大的重點要跟各位來討論
在第一個要點主要是需要A級和B級機關要在兩年內完成鍛鍊偵測機制的導入作業 , 在第二個要求這是希望各機關要做好日子及相關稽核事件的處理 , 最後第3點,
著重在身份驗證管理措施的部分,希望身份驗證必須要有相關的原則來管控,例如密碼複雜度,密碼有效期限的限制,根據剛剛所提到的3個部分 , 在資安法的修正中其實呼應了駭客常用的攻擊鏈的攻擊手法
在下方的示意圖中,從攻擊開始的感染階段,如果我們有相對應的端點偵測及應變機制,就可以阻擋多數的入侵行為!
若駭客是由使用者身分下手,那就需要預先將身分驗証管理的機制做好佈署,以防止因為少數使用者而產生的橫向移動攻擊 ; 此外若需有效的掌握所有攻擊行為的路徑,就需要日誌系統的協助,以達成資安及問題管理的有效預防.
我們務實的回到企業目前面臨的現況來看 , 在數位轉型的要求下, 許多複雜性的工作正快速挑戰所有傳統的安全營運
例如 : 因為防疫的行動辦公或者是遠端工作所帶來的漏洞 , 隨之而來必須導入更多的設備以至於對應的成本不斷的上升 , 同時間技術人力或資安技能供不應求 , 威脅也不斷的變化複雜性
如同下表所示, 許多問題正帶給IT單位更大的安全營運挑戰!
未完待續中......