AWS 偕同策略夥伴建構雲世代資安長安全戰略思維
AWS 台灣暨香港總經理王定愷。圖片來源: DIGITIMES
去 (2021) 年底,金管會發布施行新版「公開發行公司建立內控制度處理準則」,規定資本額逾百億元、或排名前 50 大的上市櫃公司,須在今年底前設置資安長 (CISO) 與資安專責團隊。此一規範象徵「資訊長兼任資安長」終將成為過去,取而代之的,將是核心職能需要被重新定義的新世代資安長。
只不過迄今有許多企業高層尚未理解此項規定的意涵,不曉得該如何正確設定 CISO 權責與義務,也依然存有「CISO 與 CIO 有何不同」的疑惑。鑒於此,AWS 台灣團隊於日前舉辦「AWS 雲世代資安長戰略峰會」,邀集重量級資安專家、企業風險諮詢顧問業者齊聚一堂,期望一方面替企業剖析 CISO 適任條件,另一方面為資安從業人員點出爭取 CISO 職務的前進之道。
技術比新、不比久!可藉由上雲強化防禦力
AWS 台灣暨香港總經理王定愷致詞表示,本次活動出席狀況熱絡,顯見台灣產官界高度重視資安,除歸因於金管會頒布新法規外,舉凡惡意攻擊事件頻傳,甚至因烏俄戰爭衍生的微妙氛圍,都讓大家的情緒緊繃,因而對資安投以更多關注。因金管會發布新版規範,今後企業董事長、總經理或董事會需要任命 CISO,重點在於能否在 Interview 時問對問題、找到對的人。按金管會規定,上市櫃公司只要發生資安事件,需發布重大訊息,接受市場檢驗,無法像從前隱而不宣,可能影響品牌形象;唯有讓對的人出任 CISO,才能將這部分的顧慮降至最低。
AWS 雲世代資安長戰略峰會於 2022 年 3 月 29 日同時線上與線下盛大舉辦,活動當日拋出雲世代安全戰略思維,助企業擇優選任資安長人才!圖片來源: DIGITIMES
因此現階段包括「Are you ready to hire?」「Are you ready to be hired?」皆成為眾人關切的問題,AWS 期望透過這場活動,幫助大家找到初步答案。畢竟企業資安攻防如同戰爭,駭客不會表明何時來襲,一定打你出其不意,嘗試攻入你的破口,需要仰賴有能力的 CISO 來守住大局。「技術永遠比『新』、不比『久』,」王定愷說,若 CISO 將雲端視為「黑船」、相應不理,但駭客反倒活用雲端創新技術來強化攻擊力,便會導致攻守失衡。許多企業遭遇資安事件時往往窮於應付,只能召喚廠商來解圍,明顯不符 NIST Cybersecurity Framework(CSF) 定義的識別、保護、偵測、回應與復原等五大原則。欲終結劣勢,有賴 CISO 確實發揮網際網路安全、資安事件回應暨災難復原、資料保護、存取控制、實體安全、網路通訊安全、威脅與弱點管理等核心職能。
具體來說,CISO 在企業中應擔負的責任,包括「影響和支援、活絡業務」、「企業資安戰略與業務戰略保持一致」、「起草、實施和執行資安政策和程序」、「管理安全營運操作」、「保持合規性」、「僱用、培養和維護稱職的資安人員」、「監督組織風險管理」及「管理資安採購和工程」等八項。其中重點便是維持資安與業務戰略的一致性,也就是說 CISO 應支持公司業務活動,而非藉安全之名來阻擋業務創新。所以 CISO 不僅應具備技術能力,亦須具備管理能力,懂得善用先進資安技術來強化防禦,進一步提升企業資料治理水平。
王定愷建議,當務之急,CISO 應打破「雲不安全」刻板印象,讓企業的技術、工具能夠與駭客對等,擺脫一路挨打宿命。他並歸納公司 Hire 資安長最重要的三件事,分別是「懂得優先」、「打過的優先」和「打贏的優先」。
美日政府採用 AWS 服務,讓創新與安全兩者兼得
本次活動的一大看點,即是AWS美國政府雲(GovCloud)專家Larry Chuon、AWS日本安全保障團隊主管松本照吾先後發表線上演說,闡述美日兩國政府為何採用AWS服務。Larry Chuon指出,AWS或AWS GovCloud可協助企業組織、政府機關保護敏感工作負載,並且加速合規、實現資料隱私。他強調AWS將安全視為第一要務,確保數百萬客戶在不斷發展的自動化環境中,自信且安全地營運;例如藉由AI/ML Analytics等技術,按幾下即可自動探索、分類與保護敏感資料,自動化地落實基礎架構和應用程式的安全檢查。
綜觀眾多公私部門採用AWS商業平台及AWS GovCloud平台的主要動機,在於可加速實現安全與合規計畫;與其他平台相比,AWS支援最多安全標準及合規認證,更定期接受第三方驗證,達成PCI、HIPAA、FedRAMP、FEC Rule 17A-4、FISMA等數以千計的全球合規要求。另外「責任共享模型」亦是吸引公私部門的重點,由AWS負責雲端基礎設施的安全控制,包括該區域的全球基礎架構、可用區域、邊緣位置,還有所有運算、儲存資料庫及網路等基礎服務;有助客戶卸除繁重負擔,專注經營核心業務,無需分心管理枝微末節。
松本照吾表示,2016年日本政府公布雲端預設原則,聲明政府資訊系統將優先考慮採用雲端服務;相對的,政府也將針對雲端服務的優點、開發規模與成本進行檢查。但之後日本的雲端遷移進度緩慢,係因舊式治理機制仍會妨礙各機構採用新技術,顯見相關監管或合規計畫亟需轉型。在日本公務機關開始規劃新的雲端合規性計畫時,AWS向日本監管機構分享經驗與意見,讓日本監管機構意識到透過AWS不但加速實現創新,亦可援引AWS的治理和安全控制措施、擴展安全能力。因此日本政府基於資訊系統安全管理與評估計畫(ISMAP) ,將率先通過ISMAP認證的AWS,列為政府採購雲端服務的主要對象,並利用AWS的尖端技術與全球最佳實務,助力實現政府資訊系統現代化。
參考 NIST CSF,強化雲地混合環境的安全部署
AWS 專案架構師經理楊仲豪分享雲世代 CISO 需建立的三個觀念。首先應打破迷思,雲是安全的。其次應把目光放遠,未考慮到雲安全架構是殘缺不完整的。再者應將「善用雲服務」列入策略規劃,並利用雲展開定期及不定期的攻防演練,以增加企業營運韌性。他坦言現今仍有 CISO 存在著迷思,像是認為 WFH 員工透過 VPN 與 MFA 連接內網,安全無虞;只要有 TLS 加密保護,在家透過遠端桌面 (RDP) 連回公司工作沒有問題;公司的系統通過 ISO-27001 與 PCI-DSS 認證,保證安全;上雲會導致資安事件與資料外洩,並不安全。
事實上當你的 VPN 設備有漏洞而未更新,而公司網路又是個大內網、且弱管控,或是有做更新程式但未改密碼,也未檢查後門程式,才會釀成安全危機;換言之企業慣用的傳統高牆式安全架構,其實不安全。反觀雲端,不管針對人連機器、機器連機器、人連程式、程式連程式、資料存取保護、身分驗證和存取管理,每個層次都備有嚴密防護,顯見透過雲端更易於實現有效的安全控管。
楊仲豪建議 CISO 宜以駭客思維來防禦,例如借助 Amazon GuardDuty、以機器學習模式找出駭客殺傷鏈中每一階段的攻擊樣態,進而做防禦,即可增加駭客入侵難度。或善用雲原生工具,在惡意程式碼安裝階段即可主動展開偵測、控制,及早化解網路釣魚攻擊等各種威脅。
資安實戰對談 Q&A
此次活動另一精彩議程,便是由 AWS 資訊安全顧問李宜謙主持的「資安實戰對談」,與談人包含趨勢科技技術總監劉家麟、勤業眾信資深執行副總經理林彥良,以及 Gemini Data 技術長胡辰澔 (Henry Hu)。
劉家麟表示,趨勢科技多次參與企業資安事件調查,發現兩個值得留意的方向,首先不少企業 OT 環境未落實弱點管理,哪怕 IT 環境守得再好,也會讓企業曝露於較大風險;其次為了不讓駭客輕易透過遠端存取與控制、恣意竊取資源,企業需強化遠端登入的認證與授權。他形容企業若是發燒的病人,CISO 就是負責找病因、開處方的醫師,要成為稱職醫生,可從 PDCA 的「C」(Check) 著手,找出當下企業的關鍵威脅,先矯正完這一塊,再回頭依據企業營業特性、合規需求,制定最佳資安政策。
林彥良指出,近年美國證交會、台灣金管會都加強資安資訊揭露規定,代表資安事件是足以損害投資權益的大事。因此企業莫將資安視為負資產,而是贏得融資、投資人信賴的關鍵;且重點不在於企業的資安投資金額多寡,而是高階管理層參與程度深淺。他認為 CISO 最重要技能在「溝通」,要能說服董事會、資安團隊成員、其餘一線主管,願意共同參與加強安全措施的討論;此外他期許 CISO 放大格局,不只看 IT 安全,要看整個 Corporate 安全,舉凡供應鏈安全、產品安全皆應加以關注。
胡辰澔說,台灣的資安社群重視攻擊面、技術面,雖可視為培養 CISO 技能的途徑之一,但不純然是如此,因 CISO 不只要懂技術,更要懂得營造「信任感」,讓董事會、團隊成員、一線主管,都相信 CISO 做的決定是正確的,因此 CISO 必須理解產業需求。另外他建議 CISO 應進行威脅模型評估,釐清重大安全弱點,從而藉由溝通,促使管理高層願意提撥資源、補強關鍵罩門。
在下午時段,AWS 特別規劃「資訊安全轉型歷程」、「資訊安全應用工具」雙軌議程。前者由來自勤業眾信、資拓宏宇、伊雲谷的專家,及 AWS 李宜謙輪番登場,針對資安治理趨勢、安全混合雲、AWS 安全最佳實踐、新世代資安人的技能培養等議題提出真知灼見。後者由趨勢科技、IBM、奧義智慧科技、蓋亞資訊等專家依序發表演說,深度探討零信任、資安攻防新法、log4j 因應之道。透過這些議程安排,帶領企業認知如何滾動調整資安防護觀念及工具,與時俱進強化資安布局。