釐清企業營運關鍵資產

釐清企業營運關鍵的資訊資產，對於設計一套有效的資安架構至關重要。因為這樣才能知道哪些資產需要最強的防禦和保護。

資訊和資料的保護，從未像今日這麼重要。歐盟通用資料保護法 (General Data Protection Regulation -GDPR)) 與電子隱私法 (ePrivacy Regulation，簡稱 ePR) 等嚴格的資料與隱私保護規範，不僅再次確立了資料的重要性，也提高了資料蒐集、處理與儲存者可能面臨的法律風險。而從未停歇的資料外洩新聞，更加劇了這項隱憂。

根據 IBM 的一份研究指出，資料外洩的成本持續攀升，2018 年單一資料外洩的平均成本高達 386 萬美元。然而，企業因違反資料保護法規所必須付出的罰鍰甚至可能更高，例如：英國航空 British Airways (被罰 2.3 億美元)、Marriott (被罰 1.24 億美元) 以及 Equifax (被罰 5.75 億美元) 等案例。這些活生生的案例一再證明：資料外洩的威脅無所不在、資料外洩的代價昂貴，以及資安漏洞是資料外洩的元兇。

身處這樣的情勢，企業應該開始重新檢討自己所蒐集、儲存、處理的資料是否投入了充分的資安資源來加以保護。

什麼是企業的關鍵資訊資產？

首先，企業必須先找出自己的營運關鍵資訊資產，也就是一旦遭駭將造成企業重大損失的資產。不同產業所持有的資料類型不同，就算是同一種資料，其重要性也不盡相同；此外，不同企業所持有的資訊資產也會有所不同。

以下是一些企業可能列為關鍵資產的資訊。

• 競爭資訊。這類資訊是企業的核心，包括：商業機密、研發資訊，以及任何可為企業帶來競爭優勢的資訊，例如那些奠定企業根基的永久機密 (對一家製藥公司來說，就是產品配方)。此外，也包括了營業過程當中所蒐集並足以影響公司決策的資訊，例如：競爭對手資訊、專案資料、客戶數據等等。
• 法務資訊。版權及合約等法律文件，也是企業最機密、關鍵，也最必須妥善保護的資訊。這類文件是企業與各種對象，如：客戶、承包商、員工等等所簽訂的官方正式合約，同時也在法律上保護企業的智慧財產和其他資產。
• 個人身分識別資訊 (PII)。這類資訊是許多資料保護法規的核心重點，尤其是 GDPR。PII 包括可用來識別個人身分的客戶或員工資訊。
• 日常營運資料。視產業而定，任何其他類型的企業資訊大致上都可歸在這一類。企業每一個部門都有其每天需要變更或使用的特有資料，而且也是公司日常營運所必需。例如，人力資源部門會處理到員工的薪資或健保資訊，因此也相當程度涉及到員工的 PII。

根據趨勢科技與 Ponemon 的網路資安風險指標 (Cyber Risk Index，簡稱 CRI) 來看，一些風險最高的資料類型 (如 R&D 資訊、客戶帳號、商業機密、公司機密資料) 都至少屬於前述其中一種類別。網路犯罪集團可針對他們想攻擊的目標而量身訂製攻擊手法。此外，也可能挑選他們最容易下手的目標，因為企業很可能將資安資源分配到其他地方。

企業如何釐清哪些才是營運關鍵資產？

企業或許對自己所儲存的資訊和資料已經做好各種分類，不過，企業必須建立一套明確的參數來定義何謂「營運關鍵資訊」。以下是企業在決定哪些資產該受到保護的一些考量要素：

• 價值。企業所選擇記錄及儲存的資料，必須含有某種價值。此價值可能隨時間而改變或降低。企業要評斷該資料能為公司帶來什麼價值，以及該價值對其流程有多大影響。
• 風險。評斷資料是否重要的一個好方法就是事先預測資料可能引來甚麼樣的威脅和風險。這些資料是否會引起歹徒的興趣？要取得這些資料是否容易？藉由這類簡單的問題，企業就能評估某項資訊可能面臨的風險有多高，以及該如何加以保護。
• 衝擊。某項資訊要是遭到駭客外洩或竊取時，會發生什麼後果？若衝擊大到甚至會波及企業本身以外的對象，例如影響到客戶的安全，那麼企業應考慮將這項資訊列為關鍵資產來加以保護。

企業應保護哪些重要資料？

辨識關鍵資產的主要目的在於讓資源能做最佳的分配，並且設計一套適當的資安架構以盡可能降低資產外流的風險。不過，企業仍必須認知一點，那些未歸類為營運關鍵的資料，依然有其價值存在，因此也必須受到保護。以簡要說明這些資料。

可公開取得的資訊

企業必須對外公開一些資料 (例如網站內容) 來讓潛在客戶進一步了解企業。此外，企業的員工也可能會有自己的社群媒體帳號。這所有的資訊在一般社會大眾眼裡應該不至於危害企業，但在犯罪集團眼裡，卻能對他們攻擊前的情報蒐集大有幫助。

企業組織架構和文化

這些資訊基本上是深藏在企業內部，通常不會訴諸文字形式或實際的資料記錄。但這些資訊卻可從一些外部的觀察和口耳相傳得知。如同這些資訊對於有意進入該公司或購買該公司產品的客戶來說相當重要，對駭客來說也是很有幫助，他們可利用這些資訊來設計一些社交工程攻擊，例如假冒該公司的高階主管。

網路基礎架構

駭客可使用一個像 NMAP 這樣的合法工具來發送精心設計的封包到目標主機，然後再分析主機回應的封包。如此就能進一步掌握企業主機、系統服務與作業系統的情報。企業網路基礎架構的情報一旦被歹徒掌握，駭客就能調整攻擊的方式，讓行動更有效率。

以上所列是企業必須控管的一些資訊，意味著如果這些資訊能被公開取得，企業必須有所掌握。儘管這些資訊本身或許不具威脅性，但卻可能被駭客用來滲透企業的第一道防線。

[延伸閱讀：Understanding Targeted Attacks: Defensive Measures]

企業如何保護營運關鍵資產？

如前面提到，企業應該採取的首要步驟就是比任何人都了解自己的資料。以下簡要列出我們所建議的步驟。

1. 列出所有資料。了解公司正在蒐集哪些資料，以及這些資料儲存在哪裡。此外，企業也應列出那些從不同資料整合而來並集中分析的資料。如此一來就能全面了解哪些區域或部門掌握了關鍵的資料。
2. 找出關鍵的資料。一旦列出所有的資料之後，企業就能開始釐清或重新評估哪些是營運關鍵資料。這樣做是為了能夠讓資安資源做最有效的分配，同時預估這些資產可能面臨的風險程度。
3. 評估威脅。企業必須預先料想會有哪些不法份子可能覬覦這些資訊資產。這有助於企業設計並建立防禦機制來防範已知的駭客技巧。
4. 規劃並建置必要的資安措施。有了第一步驟所蒐集的資訊，企業就能開始規畫要採用哪些資安措施來保護關鍵資產。企業可先從資料加密著手，確保資料在儲存與傳送過程當中皆處於加密狀態，這樣，萬一資料不幸落入歹徒手中，也能降低外洩的危險。

總結來說，企業應建立強大的網路防禦，攔截來自四面八方的威脅，避免他們將魔爪伸向企業的營運關鍵資產。一套多層式且環環相扣的網路防禦以及全方位掌握所有的網路流量，再配合一套新一代入侵防護 (NGIPS)，就能協助企業隨時預先掌握可能駭入企業無形資產的威脅。

此外，企業也可採用趨勢科技XGen™ 防護跨世代融合的威脅防禦技巧來增加一層額外的資安防護。它採用機器學習(Machine learning,ML)技術有效率地主動偵測先前未知的有害檔案類型，確保資料中心、雲端環境、網路及端點裝置皆獲得周全的防護，防範所有各式各樣的威脅。

原文出處：Recognizing Enterprise Mission-Critical Assets