安全性復原能力如何主動支援組織？

「臨時資安長」

Twitter

首先，在預測對營運復原能力的威脅方面，人員和關係是資訊分享的重要關鍵。組織的其他小組絕對會比我的團隊更加熟悉其各自的領域。這些團隊也明白將會造成哪些業務影響。標明「滿意路徑」思維向來都有助於團隊跳脫現狀，並仔細思考哪些最糟情況會破壞其計畫，進而使團隊無法正常運作。我們建立了標準設計模式和團隊規範以減少這些最糟情況。設計模式可採用標準化技術架構、要求或營運程序的形式。團隊規範通常則採用交叉訓練、既定角色、通訊模式及向上呈報的形式。我們在 2020 年 3 月實現了主動方法帶來的最大效益，當時公司不得不在短時間內無限期完全採用遠端模式。在 2019 年，由於與組織中其他團隊的對話，我們發現自身的 IT 基礎架構有四大問題，會嚴重限制我們的復原能力。

許多關鍵業務程序仰賴安裝於辦公室的 IT 基礎架構，但辦公室缺乏電力、網際網路及散熱備援。

管理 IT 基礎架構（尤其是公司電話系統）需要我們內部缺乏的專業技能。我們嚴重依賴外部資源來協助我們管理設備；此外，當發生問題時，我們無法確定自己能夠多快還原服務。

我們沒有可充分監控和保護內部 IT 系統的必要團隊，而且託管服務供應者也無法勝任這項工作。

遠端存取提供的客服通話體驗不甚理想。

為了因應長時間中斷服務的風險以及滿足更優質之遠端工作體驗的需求，我們決定將所有的內部 IT 基礎架構移轉至雲端型服務。因此，當轉換成全時段遠端工作時，我們並未感到措手不及。

Christos Sarris

Sainsbury's 首席資訊安全分析師 | LinkedIn

在接觸醫療部門的這些年，我見證到安全性復原能力如何助組織一臂之力。在我的團隊必須處理非常複雜的惡意軟體類型時更是如此，這類惡意軟體是專為攻擊加護病房 (ICU) 廣泛使用的特定品牌裝置設計的。ICU 醫療裝置 (ICUMD) 可用來密切監控、穩定及治療經常失去意識且幾乎完全仰賴這些設備存活的 ICU 病患，而惡意軟體通常會影響注射泵（用來管理特定劑量的藥物）和泵監控功能，進而對生命造成威脅。在評估這些設備時，我們發現了當前的安全性弱點與未來威脅。我們清楚意識到，自己必須透過與其他 IT 相關裝置截然不同的方法來處理軟體更新、修補及存取等關鍵領域。我們在安全性復原能力策略的識別、偵測及回應階段實作了相當細膩的程序。並藉此在隔離的測試環境中找到了惡意軟體。結果顯示，該惡意軟體是經由廠商推出的遭入侵修補程式所引入。當時，沒有任何端點保護軟體能夠偵測此惡意軟體，而且如果遵循一般的安全性程序，我們便會將數百名病患的生命置於危險之中。萬萬沒想到，有人會設計如此心懷不軌的軟體，並可能導致他人失去性命。對許多在第一線工作的資安專業人員而言，安全性復原能力顯示組織適應已知和未知威脅的能力。在發生危機時不斷推動業務轉型是建立企業復原能力的關鍵策略。

「對許多在第一線工作的安全專業人員
而言，安全性復原能力顯示組織適應
已知和未知威脅的能力。」

Christos Sarris | Sainsbury's 首席資訊安全分析師

Nigel Sampson

國際數據集團 (IDG) 網路安全主管 | LinkedIn

取得解決方案只是人員、程序和技術三部曲的其中一環。設法讓員工支援解決方案同樣重要。組織往往無法留住其網路安全員工，因為他們沒有當前的薪資資料，也無法瞭解這些人員在該領域中的指數性成長及其市場價值。網路安全、財務及人力資源部門之間必須建立更緊密的關係，以便打造和支援安全性計畫。在我從事先前的職務時，實作彈性的模組化 GRC 是最有效的解決方案。不過，此作法之所以能夠有效獲得多個部門的青睞，是因為其具備跨部門功能，並涵蓋廠商管理、廠商風險管理、原則管理及 IT 風險管理。此作法為風險管理帶來了集中式解決方案，但同時也為企業原則提供了存放庫。在提供廠商管理解決方案方面，它也具備可將關鍵廠商依風險分級的廠商風險管理解決方案。如此一來，即可判定個別廠商的風險概況，以及第三方的整體風險概況。當檢閱各個使用案例包含的手動程序時，很容易就能證明此類解決方案的成本/效益合理性。GRC 解決方案一開始為單一模組，並會在其他部門需要存取權的情況下，隨時間擴充為四個模組，以便集中處理其文件或將其用於其核心程序。

「網路安全、財務及人力資源部門之間
必須建立更緊密的關係，以便打造和
支援安全性計畫。」

Nigel Sampson | 國際數據集團 (IDG) 網路安全主管

Haroon Malik

NTT DATA 安全諮詢服務總監 | LinkedIn

幾年前，我與一家面臨第三方供應鏈存在巨大風險的零售公司合作。供應鏈攻擊是近期常見的攻擊手法。但是，這並非新興現象，而在這家公司發生規模相當大的資料外洩事件後，我便奉派協助該公司。此資料外洩事件不是該公司自身的防禦機制所致，而是因為其主要供應鏈之一存在弱點。我主導了第三方供應商審核，並進行多方面評估，例如哪些是該公司的關鍵供應商（他們擁有大約 200 個供應商）。接著，我們必須檢查他們會與哪些供應商交換個人資料和機密資料。然後，我們繼續根據分類資訊將所有供應商分成各種等級。因此我們也稽核了所有的第一級供應商。這對客戶的幫助在於使其能夠更確實瞭解自己的哪些供應商存在風險。最後，我們發現該公司選擇供應鏈的方式有了顯著的改善。選擇依據不能只著眼於商品品質，同時也應考量到安全性原則。復原能力的另一項要件是不僅能夠找出發生異常狀況的時間，而且還能迅速找出。這些概念稱為平均偵測時間 (MTTD)，以及平均回應時間 (MTTR)。只要存在威脅，就會發生資安事端。若能減少資安事端發生的可能性，同時將造成的影響降至最低，即可實現復原能力。

「只要存在威脅，就會發生資安事端。
若能減少資安事端發生的可能性，
同時將造成的影響降至最低，即可
實現復原能力。」

Haroon Malik | NTT DATA 安全諮詢服務總監

Ian Thornton-Trump

Cyjax Limited 資安長 | LinkedIn | Twitter

在英國的網路威脅情報 (CTI) 產業中工作經常都需要採用提升的警示等級。所幸，我們按照此種方式建構了自己的基礎架構，以減少易受攻擊之服務的攻擊面和暴露情況。我們對此「最佳實務」架構的承諾也提供程度適切合宜的復原能力。對我們來說，重點在於擁有知識豐富的開發人員，而且這些人均以建立安全代碼感到自豪，同時確保在嚴格遵循 ISO 27001 規範的情況下正確部署代碼。做為一家近乎虛擬的公司，我們的資料和電子郵件全部都容納在軟體即服務 (SaaS) 雲端中，以獲得頂級供應商提供的終極存取性和資料保護。在 CTI 領域中工作，公司所有人都深切意識到各種組織以及我們自身所面臨的威脅。我們具有一同共事的法規遵循長，而且公司各個階層每天都在對抗實體和虛擬世界中的威脅發動者。此做法不但可推動強大的資安文化，亦可促進有效的復原能力。

「對我們來說，重點在於擁有知識豐富的開發人員，而且這些人均以建立安全代碼感到自豪，同時確保在嚴格遵循 ISO 27001 規範的情況下正確部署
代碼。」

Ian Thornton-Trump | Cyjax Limited 資安長

Michelle Dennedy

PrivacyCode, Inc. 執行長 | LinkedIn | Twitter

打造復原能力的其中一個範例來自於我在思科擔任首位隱私權長的日子。如果客戶想要購買協作或其他隱私權敏感產品，我們會在起草合約時衡量其不信任與困惑的狀態。長期協商涵蓋各種問題，例如：「資料的儲存位置為何？」和「誰負責管理有關我們員工和客戶的登入資料？」當我想到此解決方案時，人正好在倫敦交通博物館的展覽中：倫敦地鐵的簡化地圖真是完美！如果我們可以透過易於理解的資訊圖向客戶展示哪些資料有問題，以及發生問題的位置和時間長短，那會怎麼樣？這正是我們在思科信任中心中建立和發佈的內容，而且效果立竿見影，而且顯著又持久。當人們可以視覺化複雜的系統性問題時，他們就能夠共同擬定計畫、做出承諾並推動發展。我現在任職的公司是 PrivacyCode, Inc。我們提供的平台可讓必須建立及執行複雜之法律和政策要求的利害關係人，有效地為技術團隊將這些要求轉化為淺顯易懂的行動導向工作。在不斷變化和日益複雜的世界中，清楚傳播且層級精細的領導方式將可創造並強化復原能力。我一直都在尋找簡單且易於操作的步驟來解決重大的挑戰。

「在不斷變化和日益複雜的世界中，
清楚傳播且層級精細的領導方式將可
創造並強化復原能力。」

Michelle Dennedy | PrivacyCode, Inc. 執行長