原标题:思科亚太日本区资安长江明灶:企业开发系统需导入资安思维
思科亚太日本区资讯安全总监江明灶指出,企业面临的资安威胁难以预料,所以企业需要提前準备来防範
国际非营利资安认证组织(ISC)2于5月9日在台北举办「SecureTaipei 2017云端时代下的资安应变之道」研讨会,邀请行政院资通安全处长简宏伟、思科亚太日本区资安总监江明灶、台湾云端安全联盟理事长蔡一郎等资安专家,共同探讨企业和政府机构如何强化网路防御的应变能力,以及防护云端服务所带来的资安威胁。
思科亚太日本区资讯安全总监(CISO)江明灶在会议中指出,许多企业、政府机构在5年前不愿意导入云端服务,主要有资料外洩的疑虑,例如,新加坡金融管理局曾警告银行机构,尽量不要使用云端服务,恐造成金融相关的机密资料外洩。
然而,当今国际上已经制定了企业相关的云端安全标準,如ISO27017、ISO27018等都着重在云端资料的隐私保护。而且,随着云端服务的发展,部分国家也有建立云端服务的指导方针,江明灶谈到,目前新加坡政府建立多层次云端安全标準(MTCS),每个云端服务产品需要得到该标準的认证,国内企业才能够使用。
企业需主动积极参与制定资安策略,才能提高企业资安防护的效率
但是,有些企业认为上传至云端服务的资料,如果遭骇客窃取或外洩出去,安全责任是归属云端服务商,江明灶表示,虽然云端服务企业提供公有云(Public Cloud)服务给商业机构,但是云端服务内的资料安全责任,是属于使用云服务的商业机构,因为这些遭外洩的资料属于使用云端服务的商业机构,而云端服务本身的系统安全问题,则属于云端服务企业的责任。
江明灶观察企业面对云端服务制定的资安策略,发现企业展现5种不同的态度,分别是,首先,企业完全开放云端服务,很多中小企业没有做任何的云端服务控制,採取无为而治的资安策略。其次,企业拒绝使用云端服务,金融机构和政府的看法居多,都是对于云端概念的不信任。第三,企业仅内部控制私有云,部分企业只有管理员工在企业内部使用云端服务,但是,有些员工会利用USB或行动装置,窃取企业内部的机密资料,防範效果仍然有限。第四,企业完全听从提供安全服务的厂商建议,因为很多中小企业没有经费,可以与资安公司进行沟通协商,会购买固定套装的资安防护服务,企业资安策略就被资安公司完全掌控。最后,企业主动积极参与制定资安策略,企业与资安公司共同评估企业内部的资安风险,来制定有效率的资安策略。
江明灶认为,企业面临的资安威胁难以预料,所以企业需要提前準备来防範,首先,企业资安策略要达到可视化(Visibility)程度,了解企业内部的资安问题,再设想情境意识(Situation Awareness),让企业员工清楚可能发生的资安威胁,才能够知道如何抵御威胁,最后企业依照资安风险的程度,安排优先防护的级别,并妥善利用企业资源来订定防护策略。
江明灶认为,大多数企业在发生资安事件后,才把经费投资在资安防护,恐亡羊补牢为时已晚,所以,他强调企业在开发程式或系统时,需要将资讯安全在考虑範围内,而不是企业受到攻击后,才寻找安全解决方案。他举例,苹果推出某电子产品的时间,经常比其他厂商都还晚,但苹果还是拥有许多消费者的爱戴,主要原因在于,苹果坚持把产品做到质量最好的状态才推出,才能得到消费者的信赖。企业资安防护能够做好準备,也可以提供优质的产品和服务,来得到客户的信赖。
政府不仅重视云端资安,更要强化国家关键基础设施和IoT装置资安防护
一方面,企业使用云端服务不仅降低了企业成本,还能提高企业的生产力,为企业带来商机之外。另一方面,很多政府机构也开始推动云端服务,如行政院在2012年投资70亿打造政府云、台北市政府也在今年4月上线「地政云」服务。
简宏伟表示,他在推动电子化政府服务过程中,认为政府机构如果导入一套没有以资讯安全为基底的系统,像在沙滩上盖房子,都是不切实际,尤其政府机构导入云端服务后,面对的资安威胁更複杂。
除此之外,简宏伟提到,许多人过去认为有些国家关键基础设施没有连接网路,所以不会有资安的问题,但攻击者可能利用含有恶意程式的USB,植入国家关键基础设施的系统,以及原本规定无法上网的国家关键基础设施,其内部资料却在网路上暴露。因此,资安处在今年与专家学者共同合作,针对8大领域的国家关键基础设施来建设相关安全防护措施。
不仅如此,由于物联网(IoT)装置在台湾逐渐盛行,很多IoT装置与人民的生活息息相关,为民众带来了便利,例如智慧电视、监视摄影机、智慧灯泡等,甚至国内某机车厂商,开发了一款App与机车连线,来设定机车的装置,包括电灯亮度、仪表板色彩和检视机车电池的容量等。
简宏伟认为,IoT带来的威胁也是与日俱增,骇客可以利用IoT装置系统的安全漏洞,在远端遥控车子引擎的开启或关闭,造成的危险更严重。资安处目前与经济部、通传会正在拟定IoT装置安全检验的规範,让民众可以在便利之余,额外增加安全的保障。
iThome Security
相关:
做好事不留名,这件事就发生在一名出国旅游的护士身上,救了一名癫痫发作的中学生,没有留下姓名,救护车来了之后护士悄悄独自离开,原来他是去旅游的,正好碰上的,这样的精神我们要学习和发扬。但是事件的背后我
示意图,与新闻事件无关。 图片来源: Cisco 思科在本周一(5/8)修补了涉及318款交换器的远端攻击漏洞,这是思科自美国中情局(CIA)网路攻击火力Vault 7机密文件中所发现的安全漏洞。此一安全漏洞的编号为CVE-201
河南护士日本救人,近日一则河南护士日本救人的视频在网络流传,在日本当地著名的旅游景点浅草寺发生了让人相当感动的一幕,一位日本中学生癫痫发作,口吐白沫倒在路上。而这是一名年轻的女子冲上前去对她进行救治,而
bnt新闻讯9日下午,韩国男子组合防弹少年团现身金浦国际机场,飞日本进行专辑发行宣传活动。吴婧怡/文金致允/图本文出处‘新闻来源/Wow!NEWS新闻网’
(原标题:日媒:中国太空开发遥遥领先日本有战略吗?)资料图:中国“天舟一号”发射升空。日本《产经新闻》5月9日社论,原题:面对中国的太空开发,滞后的日本能有所战略吗?“载人中国空间站”离现实只有一步之遥