合規與風險
當 IT 去中心化時,資安文化很重要
去中心化可以讓企業運作更加靈活,但也讓IT和網路安全變得更加複雜。建立強大的資安文化、部署正確的工具以及制定事件回應計劃是保護企業運作的關鍵。
去中心化架構可以為組織帶來強大的敏捷性並加快新技術的部署。但去中心化的代價是很難確保決策的一致性,也可能無法正確地考慮到所有的因素 – 這在資安方面是一個非常現實的問題。在安永的2021年全球資訊安全調查中,有56%的CISO(資安長)表示,當公司管理階層做出需要把握時間的戰略決策時,他們的團隊會很晚才被諮詢或根本不會被諮詢。有超過四分之一(27%)的人表示,至少在某種程度上,技術推出的速度阻礙了適當的網路安全參與。
這讓CISO和他們的資安團隊陷入了艱難的位置。一方面,他們有責任保護組織免受網路威脅侵害,而且攻擊面也在不斷擴大。另一方面,如果他們成為靈活性和回應能力的障礙,就可能在安全與業務間造成裂痕。
幸運的是,企業的IT安全團隊可以採取三個步驟,在去中心化的IT環境保護企業:1) 建立資安文化並主動尋求對採購中解決方案的能見度;2) 盡可能地建立偵測及回應技術;3) 制定正式的事件回應計劃,以便在威脅發生時進行處理。
1. 建立資安文化 – 並尋求能見度
去中心化的IT加上「馬上就要」的心態會導致技術採購忽視安全性。同時還有影子IT的風險,這沒辦法只用禁止未經授權的應用程式和裝備來加以解決:當人們有足夠的動力時,就會找到方法來繞過禁令。
關鍵是IT資安團隊要培養企業資安文化,讓各個層級的參與者都能考慮到安全性,並了解自己在確保資安方面扮演的角色。這需要進行廣泛的教育:對董事會成員、管理階層和資深主管進行資料保護、法規遵從、風險管理等方面的教育訓練;並向員工介紹他們可能沒有意識到的威脅,如公共WiFi的危險。它還需要一定程度的「翻譯」 – 將技術性的IT安全概念轉化成通俗易懂的解釋,幫助非技術受眾理解對企業的潛在影響。
當考量安全性成為全公司的本能反應時,人們在做出有關應用程式、裝置及其他解決方案的決策時,就更有可能尋求IT的意見。即便如此,IT團隊仍需主動和持續地與整個組織保持接觸以儘早了解採購流程,這樣才能有發表意見的機會。
2. 建置感應器和封鎖技術
許多去中心化架構的組織在地理位置上也是分散式的。這代表他們的網路和資料也是分散的,通常都會使用雲端解決方案和軟體即服務(SaaS)應用程式。
這類環境需要一種基於風險的整體安全方法,如安全存取服務邊緣(SASE),它結合了零信任網路存取(ZTNA)控制、安全網頁閘道(SWG)裝置和雲端存取安全代理(CASB)的安全功能,提供先進、無代理的資料外洩防護。
部署在整個網路內的感應器有助於產生使用者檔案,確認組織風險的各個單點及不同級別。針對這些風險進行調整,ZTNA可用於控制對企業自有資源的存取,SWG能夠封鎖進出的網頁流量,而CASB可以限制個別使用者在特定應用程式內所能執行的操作。
並非所有的威脅都來自網路端點,根據Verizon,網頁應用程式和電子郵件是最常被利用的載體,所以感應器和處理工具也必須超越端點。延伸式偵測及回應(XDR)技術填補了端點偵測及回應(EDR)的不足之處。XDR收集並關聯來自網路、雲端、伺服器、電子郵件和使用者的深層威脅資料,以確認威脅如何通過網路進行通訊和散播,以及哪些東西被存取過、被誰存取和何時存取,這樣一來能夠顯示數量更少但保真度更高的警報。
有了強大的資安文化,再加上正確的自動化工具來偵測、回應和解決威脅,能夠為去中心化和分散式組織提供全面性的保護。拼圖的最後一塊是需要一個明確且共享的計劃,當入侵外洩事件發生時能夠進行應對。
3. 建立正式的應對計劃
因為威脅的快速發展以及攻擊面的不斷擴大,網路攻擊不再只是可能會發生的事情。SecureLink/Ponemon Institute在2022年7月的一份報告中提到,有超過50%的組織表示在過去12個月內經歷過網路攻擊。但在回應另一項調查的美國高階主管中,有63%表示自己的組織沒有事件回應計劃。
事件回應計劃是一套明確的政策和程序,可在發生網路攻擊時付諸行動。它的目標應該是盡可能地限制攻擊的影響,闡明所涉及的回復步驟,並確認如何分析導致入侵外洩事件的原因,以便調整資安系統來抵禦未來類似的攻擊。
去中心化組織可以將事件回應計劃記錄在各地IT資安團隊都能參考的行動手冊中,這樣可以讓事件處理方式保持一致,並提供有利於整個組織的反饋機制。建立一套行動手冊的過程也有助於挖掘出資安漏洞(特別是在去中心化和分散式組織中),以加強整體的安全態勢。
下載趨勢科技的事件回應服務和行動手冊指南
技術和流程來強化資安文化
去中心化的風潮似乎隨著時間而起伏不定。早在15年前,Pratum部落格的一篇文章就指出:「這種情況每3到5年就會發生一次,尤其是在大型組織中…從中心化的IT和資訊安全到去中心化作法的轉變。」
對於處於去中心化擺動的企業而言,好消息是,在當今高度複雜和壓力巨大的網路安全環境中,可以採取切實可行的步驟來減輕風險。基本原則是「多溝通」。即使IT團隊沒有辦法成為技術採購流程的守門人,仍然可以有效地傳達正確訊息給他們,作法是透過提高對資安重要性的整體意識,並與整個企業團隊保持積極聯繫以了解新出現的需求,並協助正確的解決需求。
有了堅實的資安文化作為基礎,即使是擁有去中心化IT架構的企業也能夠充分運用當前可用的整體安全技術(如SASE和XDR)來抵禦威脅,並透過定義明確且不斷改進的事件回應計劃作為後盾,讓整個組織都能遵循。