過去三十年來,趨勢科技觀察到對客戶帶來強大衝擊的產業趨勢,其中一個趨勢就是,威脅會在改變 IT 基礎架構時出現。這在今日格外重要,因為大多數企業都正在改變運作並管理基礎架構的方式,而這件事本身就已經夠困難了。
但隨著數位轉型而來的是企業攻擊面持續擴大,因此資安主管要求整個企業的能見度、偵測和回應能力都要提升,這可不只是端點的問題了。
繼續閱讀標籤: 資訊安全長
《資安新聞週報》中小企業主成新一波跨國詐騙苦主,損失已達數千萬/直接向CEO報告的安全事務負責人僅占1/7
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
中小企業中招 損失已達數千萬工商時報
資安不能說的秘密iThome
資安預算平均大增14.5%,8成企業去年確有資安事件Pchome 新聞
調查顯示,82%的董事會對網路安全感到擔憂,然而直接向CEO報告的安全事務負責人僅占1/7中央社即時新聞網
去年10大高風險網路賣家 露天拍賣居首位 中國廣播公司全球資訊網
神祕帳號寄邀請! 臉書有「另一個自己」其實是陷阱 新聞雲
Hacking Team東山再起? 研究人員發現疑似該團隊打造的惡意程式iThome
未來的犯罪:所有物品都上網超方便,但也表示我們進入了萬物皆可駭的時代關鍵評論網
VOLVO推出智慧手機App開車門發動引擎,但NISSAN卻爆發出Leaf遠端遙控App遭駭!CarLink鏈車網
華碩路由器、個人雲服務因安全缺陷遭美國FTC起訴,願受20年稽核換取和解 Pchome Online
邀請駭客襲自家官網 美國防部有但書 中央通訊社商情網
台行動支付用戶首重安全 驗證方式多元中央社即時新聞網
陸製兒童智慧錶 易遭駭客入侵 安全系統存在漏洞 簡單幾步驟即可竊取個資 旺報
OpenSSL再爆安全漏洞 影響逾1,100萬個網站電子時報
聖文森高度肯定臺灣協助資通訊發展 中時電子報網
假消息駭進菲新聞署 險誤導媒體 Pchome 新聞
資訊安全長的偏頭痛:痛處和解決方法
做一位資訊安全長(CISO)並不容易。一方面要無時無刻的面對董事會的難題 – 要求著不存在的額外預算,試圖對「非技術」對象闡明商業方面的安全威脅。然而當資訊安全長的資源保持不變時,威脅環境本身卻是千變萬化,日新月異,由日益靈活彈性、資金雄厚且進階的敵人來執行。在這些角度來看,資訊安全長可能是現代企業中最具挑戰性的角色之一。
只要漏掉了一次,你的組織就可能出現在明天全國媒體的頭條
在2014年問任何一位資訊安全長關於他們持續的關鍵挑戰是什麼,大多數會提到技能短缺。根據去年對ISC2的年度全球資訊安全從業人員研究顯示,有大約56%的受訪者認為這產業有人力短缺的問題。技能差距也是個長期的問題,特別是在新的領域,例如自帶裝置(BYOD)和雲端運算。即使有出現熟練的專業人士,CISO們也經常抱怨並沒有足夠資源來吸引這些人才。
還有管理問題。CISO們經常發現自己跟他們的資訊長(CIO)意見分歧,CIO想要推動更廣泛的資料存取,更好的效率,彈性和財務報表。然而,這些都可能會增加IT風險。想要滿足這些要求而又同時繼續阻止風險是場持久戰,而且常有人會低估資訊安全長在確保組織開展業務的安全上所做的努力。
安全主管們一次又一次遇到的問題是,跟其他IT領域不同,現在他們所做的事情根本沒有投資報酬率。這一方面讓他們很難說服董事會需要額外資源。同時也和壞人們有著顯著的對比,壞人們可以從投資網路犯罪上獲得巨大的回報。他們只需要成功一次,但是資訊安全長必須要在100%的時間都正確。只要漏掉了一次,你的組織就可能出現在明天全國媒體的頭條。
來自雲端和行動運算的額外風險
雪上加霜的是來自雲端和行動運算的額外風險。在同樣一份ISC2調查中,全球有超過12000名安全專業人士認為自帶裝置和雲端都是主要擔心的事情。在工作場所使用員工自有設備和雲端服務不僅會增加組織受攻擊的面向,也限制了資訊安全長發展深入防禦策略的能力。行動應用程式的風險尤其高。無論是公司內部購買或開發,往往都沒有經過小心的編寫,也沒有充分進行 OWASP Top 20 的測試來消除漏洞。
另一個增加攻擊面向的因素是第三方合作夥伴,像是管理服務供應商和律師事務所。跟他們的通訊是業務上必不可少的事情,但他們往往是最脆弱的環節,如果被攻擊者當作目標,就可以成為踏腳石進到更大的組織。 繼續閱讀