CISO - 資安趨勢部落格

為何資訊安全長(CISO) 開始要求全面的偵測及回應?

2020 年 05 月 15 日2020 年 05 月 07 日趨勢科技 TrendMicro

過去三十年來，趨勢科技觀察到對客戶帶來強大衝擊的產業趨勢，其中一個趨勢就是，威脅會在改變 IT 基礎架構時出現。這在今日格外重要，因為大多數企業都正在改變運作並管理基礎架構的方式，而這件事本身就已經夠困難了。

但隨著數位轉型而來的是企業攻擊面持續擴大，因此資安主管要求整個企業的能見度、偵測和回應能力都要提升，這可不只是端點的問題了。

繼續閱讀

面對 2020，先幫您分析資安長過去最擔心什麼 !

2019 年 12 月 31 日2020 年 02 月 20 日趨勢科技 TrendMicro

作者：William “Bill” Malik（趨勢科技 CISA基礎架構策略副總）

我們最近在喬治亞州的亞特蘭大與十數位資深IT安全主管進行了一次寶貴的談話。我很榮幸地參與他們對最感困擾事情的討論。

繼續閱讀

資安長 (CISO) 為何該關心XDR 的發展？

2019 年 11 月 13 日2019 年 10 月 29 日趨勢科技 TrendMicro

作者：Ed Cabrera (網路資安長)

過去 15 至 20 年來，趨勢科技一直在業界呼籲：一套多層式的防護才是最佳的資安實務作法，但對許多企業來說，這似乎是個遙不可及的理想。絕大多數的企業資安長 (CISO) 都面臨作業系統與應用程式老舊的困境以及經費不足的問題。

對一些資源較充裕的成熟產業來說 (如金融業與政府機關)，其資安長可針對每一個防護層分別採購滿足其功能的產品，然後再增加一些人力來負責管理每一層的防護，希望各防護層之間能彼此偕同運作，進而有效防範及回應攻擊，並從攻擊當中迅速復原。

今日的挑戰

這樣的策略不能說沒有一定的效果，但絕非長久之計，而且對絕大多數 (90%) 那些資源不夠充裕的企業來說，也不可能採用這樣的作法。因為，今日的攻擊會刻意瞄準各防護層之間銜接不良的缺口，且其規模和範圍亦不斷擴大。

繼續閱讀

網路風險指數(CRI) – 給資訊安全長和 IT 安全團隊的指南

2019 年 04 月 17 日2019 年 04 月 01 日趨勢科技 TrendMicro

趨勢科技和波耐蒙研究所 (Ponemon Institute) 合作，制定出新的網路風險指數 (
Cyber Risk Index- CRI)，以協助資訊安全長(CISO)及其 IT 安全團隊，更清楚了解相較於同規模和同產業的其他類似企業，自身目前的網路風險程度。這項 CRI 指數是根據波耐蒙研究所進行的問卷調查，調查對象為美國小型、中型到大型企業中的一千多位 IT 專家，並著眼於兩個面向：各組織保護其資料和系統之能力程度，以及目前針對組織攻擊的各種威脅。我們的計畫是每六個月彙整一次 CRI，以取得趨勢資料，檢查 CRI 是否隨時間改善。

CRI 採用 -10 到 +10 的分數量表，-10 代表風險最高，+10 則代表風險最低。結果顯示整體而言，企業的網路威脅風險升高，分數為 -0.15。我們還根據公司規模細分結果，資料顯示小型企業承受較高風險，分數為 -0.59。

好消息是大型企業公司的表現落在中度風險指數等級。依據產業細分結果時，對於問卷調查回應足夠，得以取得良好統計平均數值的產業，皆顯示出升高的風險等級，而服務業、公部門、零售業、醫療與製藥產業的相關風險最高。

以下根據所有受訪者的調查回應，列出一些值得關注的結果。

網路攻擊很可能發生

接下來的 12 個月中，客戶資料洩漏的可能性：

77% 可能性接下來的 12 個月中，關鍵資料 (IP) 洩漏的可能性
80% 可能性接下來的 12 個月中，成功發動一次 (含) 以上網路攻擊的可能性
80% 可能性

繼續閱讀

不要成為資料外洩的受害者：任命資訊安全長（CISO）以免太遲

2015 年 03 月 09 日2015 年 03 月 09 日趨勢科技 TrendMicro

沒有人知道未來會出現什麼，但我可以很有把握的說，2014將被稱為「資料外洩的一年」。不過除了相互指責、推卸責任及無可避免的媒體報導外，還可以看到另一個有趣的現象：幾間被駭的公司在當時都沒有資訊安全長（CISO）。

沒有辦法可以保證你不會出現在2015年的資料外洩事件頭條上，但有個專職的網路安全專家來直接向董事會報告已經成為認真看待安全防護的組織所必不可少的事情。對於仍然缺乏此一職位的公司來說，現在就該採取行動，在2015年過去之前。

代價高昂的錯誤

現實是今日我們所要面對的不再只是待在自己家裡開發惡意程式的壞份子 — 網路犯罪有組織、資源充足並且反應迅速。黑帽駭客知道我們的弱點，準備充分地去利用任何安全間隙，好竊取我們最敏感的資料 — 無論是客戶的個人識別資訊或敏感的智慧財產。

在過去一年，有許多成功的外洩事件利用複雜的針對性攻擊技術來感染零售商的端點銷售（PoS）系統，使用著新「記憶體擷取程式」變種，像是Soraya和Backoff。令人沮喪的是，許多外洩事件是可以避免的。

想想可能產生的龐大損失，組織應該要盡可能地去降低風險 — 透過專門的資訊安全長來集中運作。

Ponemon Institute的最新資料顯示，在2014年發生資料外洩事件的平均成本為350萬美元，比前一年高出15%。而且不只是這些公司們所必須面對的可能產業或監管機構罰款、法律訴訟、甚至是調查和補救處理的費用。更令人擔心的是潛在負面消息會迫使客戶切換到競爭對手，而且對名聲的打擊也會影響到股票價格。

輸入資訊安全長

在其報告中，Ponemon指出資訊安全長是除了事件回應和危機管理計畫等之外的重要預防措施。資訊安全長可以幫助識別資訊安全風險所在，並向董事會闡明以使它們了解，好讓關鍵投資可以順利進行。

零售商Target一直都缺少資訊安全長，一直到最近這起事件發生，他們也被建議如此做。在2013年的資料外洩事件是該產業有史以來最嚴重的一次，超過4000萬筆卡號和7000萬筆客戶記錄外洩。該公司現在已經委派了資訊安全長，但代價是什麼？

下面是一些發生資料外洩事件卻沒有資訊安全長的主要組織：繼續閱讀