資安長 - 資安趨勢部落格

IT 決策者如何建立一套主動式網路資安計畫

2023 年 06 月 15 日2023 年 07 月 03 日趨勢科技 TrendMicro

為了協助企業將資安左移，趨勢科技網路資安暨企業程式開發副總裁 Greg Young 與 DataStream 執行長暨共同創辦人 Andy Anderson 一起探討 IT 決策者如何利用一套主動式網路資安計畫來教育董事會。

我們與 Sapio Research 近期合作的一項調查指出，有 73% 的受訪者都為其數位受攻擊面的規模感到憂心。他們對於網路威脅當前態勢對企業的影響所呈現出一面倒的反應，全都是因為一件事：遠距上班。由於在家上班 (從任何地點上班) 的人力增加以及企業使用的雲端服務變多，企業「是否」會遭到網路攻擊的問題，已經變成了「何時」會遭到網路攻擊。

這也使得企業需要更主動地思考網路資安事宜。趨勢科技研究人員表示，90% 的 IT 決策者覺得他們的企業會為了數位轉型、生產力或其他目標而犧牲網路資安。另有 82% 曾經覺得被迫必須在董事會面前刻意淡化網路資安風險的嚴重性。

Greg Young 在參加 The Cyber Crime Lab Podcast 節目時分析了企業可預先採取哪些主動措施來建立一套網路資安風險管理計畫。

問：您看到了何種資安事件以及企業應該從中學到什麼教訓？

Young 回想起他在 Gartner 的日子，他強調當企業遭到網路攻擊時，他們的資安團隊其實並不訝異。這呼應了趨勢科技研究所點出的情況：網路犯罪地下市場上販售的漏洞攻擊手法有 22% 都已經存在三年以上。事實上，Young 表示：「那些截至 2020 年底為止所遭到攻擊的漏洞有 99% 未來在發生資安事件時仍將是資安與 IT 人員已經知道的漏洞。」

繼續閱讀

CISO 如何培養企業資安文化來降低風險?

2023 年 04 月 13 日2023 年 03 月 13 日趨勢科技 TrendMicro

想要培養良好的資安習慣，應從獲得全體員工認同開始。看看 CISO 如何培養企業資安文化來降低風險。

「再好的藥，如果人們不願服用或是讓人討厭，也沒有用。」
Anthony Fauci 醫生

資安習慣為何重要？

隨著資料外洩的成本不斷攀升，企業必須隨時維持良好的資安習慣。然而，光採取一些資安控管與程序 (例如使用防毒軟體和套用資安修補) 是不夠的。我們需要改變作法。想要避免資料外洩和資安事件發生，所有可能造成資安措施無法普及或導致資安習慣不良的行為都應該列入考量。

人員通常是防禦的第一線，遠距上班以及大量連網裝置與行動裝置連上不安全的家用網路已經使得企業的受攻擊面因而擴大。Verizon 指出，有 82% 的資安事件都是人為錯誤所引起。此外，Reciprocity 也指出，僅有 55% 的人在家上班時會特別留意網路資安的問題。因此，即使您架設了 VPN 給遠距上班人員使用，如果員工在登入自己的信箱時根本沒有連上 VPN，那一切都是惘然。

這不僅讓企業陷入風險，而且員工也會受到影響，因為昂貴的資安事件很可能導致企業破產或倒閉，員工將因而失業。

繼續閱讀

全方位防禦7 種駭客突破企業防線的入侵管道

2023 年 01 月 16 日2022 年 12 月 27 日趨勢科技 TrendMicro

越快偵測網路攻擊，就越能降低損失。趨勢科技威脅情報副總裁 Jon Clay 檢視了駭客突破企業防線的 7 種主要管道，並提供一些主動防護祕訣來協助您降低整體受攻擊面的資安風險。

數位轉型與遠距上班已讓企業的受攻擊面急速擴大。隨著應用程式、網站、帳號、裝置、雲端基礎架構、伺服器以及營運技術 (OT) 的不斷增加，受攻擊面的管理也成了日益嚴峻的挑戰。根據趨勢科技最近一份全球調查指出，73% 的 IT 與業務領導人表示對自己的受攻擊面規模感到憂心，這一點不令人意外。

有效的受攻擊面管理 (ASRM) 應從主動防禦駭客突破企業防線的首次入侵管道著手，而非等到駭客已經進入網路內部再來被動回應。根據 IBM 指出，那些需要更長時間來發掘及管控的攻擊管道，就是帶來最嚴重後果的資料外洩型態。本文將逐一檢視 7 種最重要的駭客首次入侵管道來協助資安長 (CISO) 與資安領導人強化企業的受攻擊面管理策略並降低資安風險。

繼續閱讀

企業每年浪費了 13.5萬美元買束之高閣的軟體！資安長（ CISO ）該知道的2023 年網路資安三大非技術性趨勢

2022 年 12 月 28 日2022 年 12 月 27 日趨勢科技 TrendMicro

強而有力的網路資安策略不是光靠挑選適當工具就行，網路資安專家 Greg Young 和 William Malik 點出了 2023 年網路資安的三大非技術性趨勢來協助企業資安領導人降低整體受攻擊面的風險。

重點預覽：

網路資安趨勢 #1：管理束之高閣的資安軟體將成為關鍵
網路資安趨勢 #2：網路資安人才短缺的壓力將持續下去
網路資安趨勢 #3：影子 IT 與 IT 零散的問題會讓 CISO 被蒙在鼓裡

網路資安牽涉的不單只有技術，一些非技術性層面，例如：人員、流程與技術的管理，對於改善企業資安狀況、降低資安風險也同樣重要，只可惜這方面經常被人忽略。為了協助資安長 (CISO) 與資安領導人針對 2023 年預做準備，以下分享網路資安的三大非技術性趨勢。

繼續閱讀

資安長（CISO）如何擬定「世界盃」等級的網路安全計劃？

2022 年 12 月 13 日2022 年 12 月 12 日趨勢科技 TrendMicro

在足球比賽中，主要的績效指標是勝利，包括了所有邁向勝利的步驟：首次進攻、完成傳球、失誤、得分。而對資安長來說，績效是指什麼？本篇文章探討資安長以及資安專家成功做好網路安全計劃的制勝三大關鍵。

今日的資安長（CISO）就像是一名足球教練。兩者都必須有個成功的願景。都需要組建隊伍並贏得成員的尊重。並且兩者都必須根據績效表現來做出判斷。

在足球比賽中，主要的績效指標是勝利，包括了所有邁向勝利的步驟：首次進攻、完成傳球、失誤、得分。而對資安長來說，績效是指什麼？

常見的關鍵績效指標（KPI），像是平均修復時間（MTTR,mean time to recovery ）、入侵嘗試次數以及每次資安事件的處理成本，這些都是確保企業安全和合規的重要因素。但在更高層面上，我們認為如果資安長能夠掌握以下三個網路安全領域 – 安全態勢、存取權限管理以及網路安全訓練，那他們就能夠展現世界盃級別的表現（或至少進入決賽周）。

繼續閱讀