管理網路資安風險:人

看看趨勢科技的 2021 下半年網路資安風險指標 (Cyber Risk Index) 研究發現了什麼,以及如何更有效管理人員來降低整體受攻擊面的網路資安風險。

企業遭勒索病毒集團挾持時有所聞,隨著勒索病毒及其他網路資安威脅不斷演進,再加上企業受攻擊面正持續擴大,資安長 (CISO) 與資安領導人已深刻了解他們有必要盡可能降低人員、流程及技術的風險。趨勢科技威脅情報副總裁 Jon Clay 與網路資安長 Ed Cabrera 探討了「人員因素」對於降低網路資安風險的重要性。

基礎架構的首要風險:人員

大家都知道,您的企業遲早必須面對遭遇網路攻擊的問題。而企業資安長和資安領導人似乎也認同這點,根據趨勢科技最新的 2021 下半年 網路資安風險指標 (Cyber Risk Index) 研究發現,全球四大地區 3,400 名受訪者當中,有 76% 認為他們未來 12 個月內很有可能遭遇網路攻擊。

◼延伸閱讀:54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

很重要必須說明的一點是,能夠避免遭到網路攻擊當然最好,但這並非企業的主要目標,企業必須要能解決其持續擴大的受攻擊面所衍生的重大挑戰,以便能夠更快偵測及回應攻擊,進而降低網路資安風險。

人們大多認為資安工作的主要重點應該是保護關鍵伺服器與基礎架構,然而,這件事固然重要,但別忘了人員也是駭客的攻擊途徑之一。

此外,2021 下半年網路資安風險指標還發現,資安長、IT 人員及 IT 主管,都將「行動/遠距上班員工」列為基礎架構的首要風險,其次是「雲端運算基礎架構與供應商」。

趨勢科技威脅情報副總裁 Jon Clay 及網路資安長 Ed Cabrera 在最近的一次會談中深入探討了這份報告的調查結果,以及企業該採取怎樣的策略來更有效管理人員以降低網路資安風險。

管理人員就是在管理網路資安風險


資安領導人有充分的理由對行動/遠距上班員工可能帶來的基礎架構風險感到擔憂。

Cabrera 指出:「人員的因素經常遭到忽略,如果你看一下任何一起資料外洩事件,…就會看到人員的因素,而情節不外乎是某員工遭到社交工程(Social engineering)攻擊,通常是收到網路釣魚(Phishing)郵件或簡訊。」

看到遠距/混合上班員工經由雲端來存取企業應用程式、網路及伺服器,且經常透過不安全的家用網路及各種不同裝置,企業確實該對自己的暴險程度感到擔憂。更何況,自從 2019 年以來,變臉詐騙 (BEC) 數量已大幅成長了 65%,從人員的因素著手來防止駭客存取關鍵基礎架構,看來非常重要。

此外 Cabrera 也指出,系統漏洞的問題同樣也跟人員有關。即使員工沒有點選惡意網址,但漏洞管理做得好不好,同樣也取決於人員。比方說,資安人員是否經常充實新知,了解當今主流駭客使用的最新手法、技巧與程序 (TTP)?是否受過訓練,有能力徹底發揮資安防護的功能來調查、偵測及回應威脅?

很顯然地,人員的管理不單只是給予使用者資安教育訓練,教他們辨認變臉詐騙、網路釣魚郵件、網路釣魚簡訊等等。資安長及資安領導人還必須確保其資安團隊擁有適當的技能,並隨威脅演變而持續培養相關技能。

不過,在全球網路資安人才缺口不斷擴大的情況下,想要招募到適當的人才相當困難,而且企業或許也沒有充分的資源來建立一個很大的團隊。所以,挑選一家提供託管式服務的資安廠商,是一個能讓您一方面彌補內部團隊不足、一方面又盡可能提升資安的有效方法。

除了良好的資安習慣、資安技能訓練、採用託管式服務之外,Cabrera 還建議應從流程下手,因為「實際建立與管理流程的還是人」。

改善網路資安流程


在建立了一個強大的資安團隊之後,接下來,企業應致力強化流程來維護人員安全。這一點對遠距/混合上班員工來說尤其重要,因為當使用者日益分散,並使用自己的裝置時,要知道有哪些使用者需要保護將是一項挑戰。俗話說得好:「您無法防範您所看不見的」。
◾延伸閱讀:員工 WFH(在家工作),CISO(資安長)遠距管理資安三秘訣

Cabrera 指出,找出您網路上有哪些使用者,基本上就等於找出您的受攻擊面。資安團隊一旦能夠完整掌握整個受攻擊面,就能建立流程並採取零信任 (Zero Trust) 資安模型來管理並監控使用者身分。

採用零信任方法可確保所有的存取動作都已先經過認證,並持續監控後續是否出現可疑行為,這樣就能防止駭客利用合法登入憑證在企業網路內部四處移動而不被發現。

Cabrera 建議,採用風險導向的資安方法,會比採用遵規導向的方法效果更好。

Cabrera 指出:「符合法規要求只是基本,換句話說,您不能只思考『我們在遵規方面做得如何?』我們必須找出風險在哪裡…以及這些風險有哪些基本元素。這樣我們才能在情況失控之前預先加以防範,或是讓情況變得更容易管理。」

下一步


既然我們已經知道該如何有效管理人員與流程,資安長和資安領導人接下來要思考:即使擁有了最優秀、最用心的團隊,如果沒有適當的技術,他們也是巧婦難為無米之炊。

您可挑選一套像 Trend Micro One 這樣的全方位網路資安平台,它是專為協助資安團隊更有效了解、溝通及防範企業整體網路資安風險而設計。它的一些功能,如:自動化、第三方整合、客製化 API、詳盡的報表,以及風險分析,都是專為簡化使用者防護並提供最大防護而設計。

如需更多有關管理及降低網路資安風險的資訊,以及採用一套全方位網路資安平台可帶來哪些效益,請參閱以下資源:

原文出處:Managing Cyber Risk: The People Element