我見我思-三步驟 提升企業資安韌性
企業唯有提升資安韌性,方能應對無所不在、潛藏的資安攻擊。圖/freepik
全球產業邁向智慧化的現在,資安不再只是一種選擇,更是一項必要投資。隨着人工智慧(AI)應用加速落地,更多以AI技術爲基礎的攻擊方法亦紛紛浮現,包含利用生成式AI輔助自動撰寫釣魚信件、協助撰寫惡意程式等。因此,儘管衆多企業已將資安列爲優先推動項目,仍有許多企業主在資安資源部署上感到充滿挑戰,管理思維亦有待改變。
截至2023年7月,全球已指派超過20萬個CVE漏洞編號,漏洞數量持續快速地增加。同時,即使是低風險漏洞,也可能經由經驗豐富的駭客提升成高風險漏洞,使企業防不勝防,對企業可能造成的損失更難以評估。雖然每種資安產品有其優勢之處,企業須注意不宜過度仰賴資安產品,而忽略了及時修補漏洞的重要性。因此,企業現今在資安防護上,除了需避免被駭客找到入侵途徑外,也需要思考是否有「遺漏的風險」,或更進一步思考到建立「迴應機制」。
筆者認爲,企業深化資安防護可從三步驟着手,第一步便在於縮小攻擊表面,透過多樣化的攻擊型產品跟服務,掌握自身潛藏的漏洞,降低被入侵的機率。
第二,藉資安產品打造強大防護牆的同時,更重要的是「內部網路」的安全性,存於內部網路的資產不意味着安全,企業若能由零信任(Zero Trust)原則出發,更全面性地考量各內部資產的關鍵性,並以最需被保護的核心繫統爲基礎訂定防禦策略,將能比過往單點式的防護策略更爲有效。第三,屏棄過往僥倖心態,正視資安風險及資安事件發生的可能性,加強迴應事件能力及相關機制的訂定,提高資安韌性。
如同企業持續尋求創新和成長,駭客和潛藏威脅亦不斷演進。如今「做資安」在數位時代已是一項必要投資,企業更應投入心思的則是如何再進一步將資安「做好」。數據顯示,未來六年內,攻擊型產品市場每年將成長11% 以上,更有朝主動、廣泛及高頻率方向發展的趨勢,而攻擊型產品千變萬化、市場更隨着產品的演變與日俱增,企業應根據自身的安全成熟度,挑選適合、符合需求的檢測方式,以此檢驗自身防護能量是否足夠。
企業除了掌握內部資產及外部威脅情資、儘可能緩解漏洞傷害性外,迴應機制也要有所提升,以彌補漏洞無法及時修補的不足。唯有提升企業的資安韌性一途,方能應對無所不在、潛藏的資安攻擊。