給 IT 人員的九個資安建議

若你將資料備份作業外包給第三方廠商,有考慮過盡量避免選擇位於地震或其他重大天災頻傳地區的廠商嗎?

身為 IT 管理者有告訴員工,所有裝置都要加上密碼保護,包括他們在公司內辦公時可能用到的一些個人裝置嗎?

公司員工都知道萬一發生資安事件該向誰通報嗎?

趨勢科技在過去所紀錄的攻擊事件證實了駭客所共用的一個策略:找出弱點並加以攻擊。不管是紐約時報或是亞洲的小公司,起始點都是透過弱點而入侵。這個弱點可能是關於技術(有漏洞的軟體)或非技術(沒有警覺的員工)。

這個發現強調了要有全面性的防禦來對抗這類攻擊。企業對於針對性攻擊並非束手無策,然而,建立堅強的防禦策略需要資源,以及組織本身的大力配合。

貴公司有設定防範資料外洩等資安目標嗎?為了讓貴公司的心血不會付諸東流,以下是趨勢科技建議你的九項網路資安目標:

1.制定策略:先問自己這六個問題

 

不論貴公司的企業規模有多大,都應該建立一套完整的網路資安策略並回答下列問題:

  1. 你的資安團隊該包括哪些人?(這一點我們將在下一段深入說明)
  2. 萬一貴公司遭到駭客入侵,你該如何因應?
  3. 萬一遭遇資料遭到外洩,你該如何因應?如何對外溝通並對所有利害關係人說明當前情況?
  4. 你打算如何對內部實施教育訓練?(這一點我們在以下第四段有更多討論。)
  5. 你打算如何維持網路資安作業預算?(切記,就算你的預算不足,駭客也不會輕易放你一馬。 )
  6. 你打算如何因應新的網路資安趨勢,如何說服公司支持你的決定?
    (擬定策略是建立強大資安犯罪防禦的一項關鍵。若你沒有任何計畫,那請相信我們,駭客們可是計畫周詳。 )

 

2.成立網路資安團隊:聘用能夠隨時掌握資安產業趨勢的專家

每家企業都必須擁有某種形式的網路資安防護。若你是一家小型企業的老闆,那你就是公司的資安台柱。但隨著公司不斷成長,你的團隊也必須跟著擴編。處理網路威脅的問題不僅耗時費事,而且壓力龐大,你需要適當的 IT 人才來應對網路攻擊。

當你在建立專屬的網路資安團隊時,請聘用能夠隨時掌握資安產業趨勢的專家。不過,你還需要一些有意願學習和成長的員工來熟悉網路資安最佳實務並掌握最新網路威脅。網路資安產業瞬息萬變,因此員工也必須不斷進步。

3.主動出擊:主動發掘可能影響 IT 環境的最新網路威脅,並找出反制之道

坐以待斃只會讓你的企業系統更容易成為駭客的攻擊目標。趨勢科技網路資安長 Ed Cabrera 建議企業應該成立一個「狩獵團隊」。你或許已經猜到,這個團隊專門負責主動發掘可能影響 IT 環境的最新網路威脅,然後找出反制之道。

要成立這樣的團隊,你絕對少不了趨勢科技的 Smart Protection Network 全球威脅情報網。這個強大的資安情報網 7 天 24 小時隨時都在分析威脅資料以發掘潛在的網路威脅,並且隨時更新雲端上的網站、電子郵件與檔案信譽評等資料庫。這套系統最棒的一點是非常彈性:不論你在世界的任何角落,它都能保護你的裝置,而且不需消耗太多你的企業資源,因為它的強大功能都在雲端上。

4.教育並訓練你的人員:掌握最新的資安發展情勢

目前最流行的網路攻擊是什麼?(趨勢科技預測 2017 年將出現更多勒索病毒) 這些網路攻擊將如何威脅你的 IT 系統?你目前有什麼資源可以在必要時立即提升你的系統?這些都是你應該詢問自己並且教育員工的問題。

或許你和你的人員可能每天都會透過線上方式保持連絡,但你仍應考慮每個月安排一次面對面溝通,彼此分享一些最新的資安發展情勢以及這些情勢如何影響你的企業。讓人員隨時掌握狀況,他們才能在面對艱難時妥善應對。

5.升級你的設備:最好的防禦不但要能攔截網路攻擊,還要能修補 IT 環境的漏洞

當今最好的防禦不但要能攔截網路攻擊,還要能修補 IT 環境的漏洞。今日的網路犯罪集團經常使用所謂的漏洞攻擊套件來攻擊企業 IT 基礎架構的漏洞以滲透企業。

漏洞攻擊套件並非什麼全新武器,但根據趨勢科技的情報顯示,今日網路犯罪集團會利用漏洞攻擊套件來散布勒索病毒。然而,漏洞攻擊套件也會彼此互相競爭和淘汰,唯有能夠快速因應外在環境變化者才能生存。為了應付如此瞬息萬變的網路資安情勢,IT 主管及資安團隊必須讓裝置上的資安軟體隨時保持更新。

 

6.教育你的員工:所有工作上用的裝置都要加上密碼保護,包括個人裝置

你的資安團隊再強也不是萬能,他們需要企業上下其他部門員工的支持與協助。不論行銷、銷售、生產、財務,所有部門都是企業防範駭客入侵的重要環節。

那麼該如何做呢?簡單。

告訴員工,所有工作上用的裝置都要加上密碼保護,包括他們在公司內辦公時可能用到的一些個人裝置。請他們使用鎖定工具來保護個人資料和公司資訊,讓他們知道萬一發生資安事件該向誰通報。

 

7.投入資源來達成資安目標:在網路系統升級和員工教育上投入越多,企業就越安全

思考一下這個問題:若你成日吃垃圾食物而且從不運動,如何保持良好身材?若你不知如何隨著音樂起舞,如何成為優秀的舞者?若你不熟悉相機的操作細節,如何成為優秀的攝影師?他們都有一項共通的特點,那就是必須不斷投入心力來提升自我。

同樣地,你也必須在資安上投入資源,才能讓你的系統隨時因應不斷演變的網路資安情勢。你在網路系統升級和員工教育上投入的資源越多,你的企業就越安全。

 

8.切勿偷懶:讓系統隨時保持更新並定期修補。

趨勢科技網路資安長( Chief Cybersecurity Officer )  Ed Cabrera 認為,企業很重要的一點是要認清網路犯罪是今日世界的現實情況。就算資安團隊今日阻止了一場網路攻擊 (不論規模多大),明日還有可能遇到其他攻擊。IT 團隊必須讓系統隨時保持更新並定期修補。

此外,也應採取額外的防範措施,並且讓系統至少每星期定期自動更新或修補一次,以預防負責人員不小心忘記執行這項動作。

 

9.備份資料:資料一旦被偷走,很難安然奪回

有時候,就連最先進的資安防護也擋不住網路犯罪集團的攻擊,歹徒將入侵並滲透企業網路。你的資料一旦被偷走就不太可能有機會安然奪回。這正是為何你必須備份所有關鍵資料。

若你將資料備份作業外包給第三方廠商,那請務必確認他們能夠達成你的資安要求。在選擇第三方廠商時,你有幾點需要考量:

  1. 地理位置:盡量避免選擇位於地震或其他重大天災頻傳地區的廠商。
  2. 資安作業程序:仔細詢問廠商如何保護他們的網路。根據你的專業能力,判斷廠商是否具備良好的資安措施。
  3. 應變計畫:詢問廠商萬一有駭客入侵他們的網路,他們有何應變計畫。

 

若你還未立下這些目標,現在來做也不算太遲。不論是個人或企業我們相信,投入資源來改善你的資安作業和程序,將是你提升自我的不錯方式。

 

原文出處:Don’t have a New Year’s Resolution?Invest in cyber security