Dark Web ISO17025 DarkNet CERT 安碁資訊 ISMS 中華電信 數聯資安 資通安全 前瞻計畫 跨境電商 ISAC SOC eDC 資安險

電商連資安險都拒保 專業防護贏回競爭力

2017-10-13
資安監控中心(SOC)主要是依照攻擊週期,在事前預警、即時監控、事件研判、處理通報、系統還原等各個程序中提供協助。即使發生資安事件後已調查結案,仍須持續監控,進入PDCA循環,以免攻擊程式僅是清除入侵軌跡藏匿行蹤,伺機重新啟動擴散活動。
數聯資安業務處協理張政權觀察,以往企業面對資安事件的思維往往只在事發當下藉由設備執行阻擋,如此僅能治標,但無法根除。平時網路流量或系統存取行為可能就有蛛絲馬跡,只是未具備可視化能力才釀成資安事件。欲降低資安問題造成營業損害,必須以資安治理重新檢視整體架構,調整控管政策與防禦措施,以及透過7╳24小時資安監控中心即時偵測機制提升反應處置能力,並且結合定期執行社交工程演練、教育宣導,提升員工資安意識,才足以抵抗變化多端的外部威脅。

正視資安風險控管 跨境電商奠定基礎

近年來台灣的電子商務快速地發展,但欠缺像是政府與金融業,有明確的資安法規規範強制實施,導致新崛起的電商平台資安漏洞百出,往往經外部單位通報才得知個資資料已被竊取。相較於其他產業,多數的電商公司根本未配置IT人力,更需仰賴資安監控中心所提供的即時偵測與事件處理服務。

研究電商領域資安議題多年的張政權觀察,少數較有資安意識的大型電商已著手自建資安監控中心降低外洩風險;但是有更多電商平台則是在爆發資安問題後,才驚覺漏洞的危險性,開始委由數聯資安先行實施緊急應變與處理,完成後再實施軟硬體的盤點、組態配置與漏洞評估等檢查,再依據弱點環節,建立即時阻絕措施。


▲資安監控中心主要是依照攻擊週期,在事前預警、即時監控、事件研判、處理通報、系統還原,各個程序中提供輔助執行。

「整體規畫概念,我們是依據美國國家標準與技術研究院(NIST)建構的方法論為準則,建立20個控制項目、超過百條分類,把整個控管規則展開後,協助電商業者逐條進行個資流向盤點,並且描繪網路拓樸清晰呈現,讓管理者能以有效率的方式掌握客戶資料的整個生命週期,再設計網路架構與資安保護措施。」張政權說。

他進一步強調,個資流向對於電商而言相當重要,事前必須先進行盤點,了解搜集、處理、利用的程序,甚至是不同區域必須符合的法規規範,皆需有所作為,提升資安水準更可讓跨境電商順利拓展海外市場。就發展腳步較快的中國網路安全法來看,要開設電商,必須實名制,不允許匿名帳號,待審核通過符合法規要求之後才能上架營運;台灣則是先上架營運,等到出事後再要求合規。

資安評估補強缺口 輔以監控服務發揮成效

儘管各個產業的控制項目重要性皆不盡相同,例如資通安全管理法、個資法、金管會等主管機關的規範,皆有不同側重要點及位階等級之分,但事實上現階段各產業所採購的資安設備卻幾乎相同。因此數聯資安在評估服務項目中設計以產品矩陣,協助客戶從第一道防線開始建立保護措施,之後再逐步導入補強的方案。

張政權從協助電商客戶處理資安事故的案例中發現,亦有公司內部已導入建置國際知名的SIEM平台、資料庫活動監控(DAM)、APT防禦設備等資安技術,甚至SIEM平台已建置了5年,卻因為欠缺專業技術人力監看,而無法發揮功效,因此才改由數聯資安的資安監控中心服務來協助。

「我們會依據顧問團隊設計評估的方法論,盤點客戶現有的資安建置,針對不足的部分,客戶毋須添購設備,只要是資安監控中心簽約客戶即可提供租用。目標是鎖定在規模2,000人以上的大型電商客群。」張政權說。


▲ 數聯資安業務處處長吳俍穎(左)與數聯資安業務處協理張政權(右)建議,欲因應外部威脅建置資安保護措施,可先行透過資安評估,依照風險等級最高的環節著手,階段性完善整體建置。

完整的資安建置,必須先經過資訊盤點、個資流向、網路拓樸,評估整體的縱深防禦能力,最後才是導入設備與啟用資安監控服務。搭配數聯資安顧問團隊設計的設備矩陣與熱度表,評估補強的環節。

除了提供資安評估,數聯資安亦自行設計自動化工具輔助,建立攻擊決策樹行為分析,採用R語言與Spark大數據平台來運行,以最容易成為釣魚郵件主旨的關鍵用語為基礎,進而予以評分。從執行統計結果往往可發現,雖然已建置完善資安防禦架構,但是人員的資安意識成熟度卻未跟上,這同樣屬於漏洞的範疇,對此,即可透過工具協助,把風險排名最高的郵件主旨增添到垃圾郵件系統優先阻擋,以免在資安意識不足的情況下,成為最大的缺口。

資安險並非無條件承保 關鍵在於風險控管

針對近來因資安威脅嚴峻,市場上又掀起投保資安險的探討,張政權則認為,若未建立資安保護架構,保險業也不會承接。就像是人身保險,必須先提出健檢報告,若發現許多高風險的弱點,就無法投保,或是設立免責條款、提高保險費。數聯資安也有協同保險業者提供資安評估服務,在電子商務公司投保前,依據評估後統計的風險評分高低制定保險金額。

「其實國際級資安保險公司進入台灣已推行許久,問題是不敢承接電商的保單,因為電商大多是在未建立資安保護架構的狀況下,就想要直接轉嫁風險。尤其是某保險公司在今年五月份理賠就已超過6件,等同於去年一整年的數量,讓保險業者們不得不更加謹慎。」張政權說。欲投保資安險之前,基本要件是完成管理建置程序,導入建置應用程式防火牆、資料庫活動監控,搭配資安監控服務,即可提高保險公司承保的意願。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!