現代化企業內部正瀰漫著一股淡淡的緊張氣氛,而且就在檯面下。近期發生的 CrowdStrike 中斷事件,戲劇性地戳破了這種緊張關係,而我們一直預料的事也終於發生了。
革命性技術變革來得既快又急,而且已迅速融入企業日常營運當中。為此,負責保護和支援這些變革的網路資安策略也必須與時俱進。
過去三十年來,我們一步步邁向了更深度連網的時代,從桌上型電腦到區域網路 (LAN),再到網際網路與雲端環境,現在則是進入了人工智慧嶄露光芒的時代。隨著網路威脅的成本與破壞力不斷進化及擴大,網路資安的焦點也全面轉移到我們的頭號敵人「駭客」身上。但隨著焦點的改變,我們卻忘了:網路資安並不是只有對抗駭客,我們的責任是要建立韌性和支援創新。
隨著技術的演進,網路資安也應該換人掌舵,原本由 IT 營運團隊負責管理的網路資安,現在已經變成了資安營運中心 (SOC) 的責任。這樣的轉變儘管必要,卻也帶來新的複雜性與挑戰,以及一些與企業目標格格不入的新績效指標,加大了網路資安領導人與業務高階主管之間的鴻溝。
網路資安部門與業務部門目標不合的情況已演變成持續的衝突,使得營運效率不彰,為歹徒製造了更多機會,並且讓 SOC 忘了自己的核心任務。以犧牲業務永續性為代價來追求欠缺整體考量的資安指標,這樣的策略天生就存在著缺陷。從現在開始,網路資安產業的未來應該要能兩者兼顧。
從藍色當機畫面 (BSOD) 事件學到教訓:網路資安與業務目標一致的必要性
2024 年 7 月,由 CrowdStrike 造成的藍色當機畫面 (blue-screen-of-death) 事件突顯了前述的失衡現象。未將業務納入考量、不負責任的品管流程,以及「一體適用」的偵測方法最終導致了失敗。
未來,我們需要與業務目標一致的資安策略。鐘擺必須再度回到平衡點,朝向 IT 營運導向的防範與風險管理邁進,以便盡可能主動降低遭駭客入侵的風險,並減少非必要地堅持那種「採取任何必要手段」來落實內容更新的傳統想法。
正如我們在 7 月所見,一旦品保 (QA) 流程存在著系統性缺陷,只要一個小小的更新瑕疵,就能造成大規模的災難。整個網路資安界都必須從這次事件學到教訓 (如同我們 20 年前所學到的),並且努力避免重犯。
在趨勢科技,我們相信要維持良好的營運就必須以階段性方式部署更新,先從我們自己的環境開始。QA 及階段性推送是最重要的步驟,以確保兼顧良好的資安偵測能力以及業務永續性。此外,我們也相信,讓過多的程式碼在核心模式中執行,可能會導致更大的中斷以及潛在的資安漏洞。所以我們會盡可能避免這點來維持良好的偵測能力,並兼顧營運的需求。
模組化的代理程式設計:透過彈性與準確性來提升資安成效
同樣可能帶來永續性風險的還有端點與 EDR 領域僵化的單一代理程式設計。「一體適用」的方法不僅已經過時,而且在 2024 年可說是天真又危險。廠商該採取什麼樣的行動已經很明顯:傳統的單向思考方式再也無法應付現代化挑戰,也無法支援企業永續性。
我們深厚的資安經驗已融入到駭客防禦與防護的現實當中:將桌上型電腦與伺服器分開對待,不僅從資安、而且從營運的角度來看都非常合理。端點、伺服器及工作負載各有其獨特的風險,因此需要特化的防護。所以,客製化與模組化方法對於保護數位基礎架構並且確保業務韌性至關重要。在同一個派送套件當中提供專為特定應用情境量身打造的模組,可以讓網路資安領導人開啟 (或關閉) 某些功能,並根據需求來決定部署的內容、地點與時機。
網路資安團隊與其所屬企業若能採用攻擊面風險管理與曝險管理這樣的頂尖技術來強化企業整體環境的安全,就能提供一種均衡的方法讓 IT 營運團隊主動採取作為來提升業務永續韌性。從這次事件之後,整合良好的資安營運、偵測能力以及業務永續性計畫 (並確保不犧牲任何一方),將成為未來的常態。
我們的創新公式:讓技術持續進步的策略
在趨勢科技,我們一直在營運永續與卓越資安營運之間維持良好平衡,並採用一種能讓我們在過去 30 年來一直領先業界的創新公式。這個公式非常簡單:
X = 基礎架構轉變 + 使用者行為 – 威脅
事實證明,這道公式一直都能 (未來也將繼續) 預測、塑造及保護產業的未來。實際的作法需要深刻地掌握並預測基礎架構的轉變,主動分析使用者的行為變化,然後預先解決新的威脅管道,同時確保這些作為能夠促進 (而非阻礙) 業務的營運。透過這樣的方法,我們讓許多企業都能預測及預判敵人的行為,而且遠在這些行為出現之前。
AI 時代的衝擊:步調一致的需求更加迫切
人工智慧的出現,帶來了新的一波基礎架構轉變。將生成式 AI 融入業務營運當中,不僅將帶來新的機會,也將帶來網路資安挑戰。AI 的進步伴隨著許多令人振奮的承諾。
打破資料藩籬、提升業務情報、加快企業員工生產力,這些全都需要一種更精密的資安策略來保護這個由 AI 驅動營運的時代。
這樣的基礎架構演進將重新塑造 IT 與資安營運的未來,而且業務部門及資安營運必須建立更緊密的關係,擁有更多共同點以及統一的成就衡量指標。資安必須超越偵測,並將可用性及永續性納入考量。
化被動為主動:預判敵人的行動並掌握自己的攻擊面
根據我們的 2024 年資安風險調查指出,大多數 (66%) 的 IT 營運受訪者皆表示其機構的風險水平正在攀升。他們回答的自信甚至與 5 年前有很大差別,而當時 IT 營運團隊甚至還比現在更難即時掌握風險趨勢。我們在自家的網路資安平台當中內建了各種原生工具來建立良好的 IT 營運以解決這項弱點。
受訪者那種風險日增的感覺,也許跟他們心目中的最大營運挑戰有關:攻擊面的盲點 (17%) 以及判斷矯正優先次序的能力 (13%)。我們深知:看不到的風險就無法防範。
有鑑於這樣的趨勢,我們預料業務領導人未來將有責任以更全面的方式來檢視風險:將業務韌性與營運狀況做連結、將資安納入業務策略當中,並且在資安指標與永續性指標之間取得平衡點。捨棄追求最基本的 MTTx 指標,讓如何降低及防範風險成為 SOC 的語言 (這對業務部門早就習以為常),如此將提供一個共通的基礎,在不犧牲整體資安策略的情況下整合技術團隊與業務團隊。
在這樣的心態下,網路資安團隊將更能善用現代化、靈活、前瞻的實務作法來預判及承受資安事件的衝擊並從中復原。
將風險導向框架融入營運:給資安及業務領導人的指引
為了將這樣的變革融入營運當中,網路資安領導人需要與業務領導人維持定期溝通 (至少每季一次),並依據量化的資安曝險、風險矯正、業務永續性以及防禦實務來分享並擬定策略。主動而持續地溝通這些領域,對於化被動為主動、將資安狀況化為網路資安實務以實現資安韌性至關重要。這種更為廣泛的網路資安與資安韌性的作法,將包含風險評量與防範計畫,其目的在強化業務承受資安威脅與營運中斷的韌性。
實務上,資安風險的財務模型有助於消彌董事會上的信任落差,針對可能發生的資安事件上賦予有形且共同的價值。像這樣的量化作法可讓網路資安團隊跟業務團隊的優先重點密切一致,同時也證明資安威脅如何影響一些關鍵的業務領域,例如:生產力、法務、商譽以及復原。此外也提供一種明確的財務動機讓業務領導人將資安韌性列為其整體策略的優先項目,進而在網路資安投資與資源分配時做出明智的風險導向決策。藉由將資安風險量化為數字 (評分或金額),網路資安團隊就能與業務領導人有效溝通資安的優先次序及關聯性。
擁抱 AI 時代:基礎架構轉型
面對 AI 轉型的浪潮,心態的轉換甚至更加必要。隨著 AI 越來越普及,該是重新檢討網路資安計畫的時候了。
我們與業界領導廠商 (如 NVIDIA) 合作,就是要保護現代化企業的 AI 環境,確保其部署環境強大而安全。隨著企業開始仰賴並將 AI 融入營運當中,企業也更有必要在 IT 營運與 SOC 當中將業務永續與資料隱私列為重點。在此同時,趨勢科技也率先為 SOC 提出了「AI 網格」(AI Mesh) 的概念,透過整合式資料湖來打破資料藩籬,提供準確的預判、安全的自動化生成,並且提供一種通用的框架讓 AI 服務彼此溝通。
業界的挑戰:擘劃網路資安的未來道路
隨著 AI 轉型的大規模實現,很重要的是要認知網路資安在所有業務面向當中扮演何種角色,它將不再是一個獨立的考量點,而是整體業務風險策略的一環。將資安風險列為優先項目,不論對客戶、員工及利害關係人來說都必要的信任之舉,這個舉動將持續帶來效益。我們一方面致力挑戰業界並推動產業向前邁進,另一方面為資安領導人及企業提供前瞻性的策略與市場上最強大的工具來守護您的資料,讓您持續前進。
若企業有興趣進一步了解趨勢科技的 QA 最佳實務…
企業目前可以開始尋找什麼? 任何認真看待網路資安的企業都應該知道其資安夥伴的實務作法。根據我們自己的最佳實務方法,以下是您可以詢問的一些流程:
- 永續性計畫:在所有的業務關鍵應用程式當中導入零信任資安模型,這樣做可確保企業使用者即使在可能遭遇中斷的情況下也能安全地存取應用程式。我們的使用者可存取一些可設定的選項,例如內容版本控制與排程工作。
- 防止藍色當機畫面 (BSOD) 的實務作法:測試與品保 (QA) 方法,以及專為在開發、測試、部署及復原階段發現驅動程式與元件問題而設計的安全機制,包括:階段性部署,以及病毒碼或內容萬一發生問題的復原手段。
- CI/CD/技術性實務作法:趨勢科技採用自動化與人員手動雙管齊下的測試方法,並透過檢查與確認程序來確保所有更新都達到嚴格的品質、相容性與效能標竿,同時也包括穩定性。這些流程都根據業界領導性標準來建立,並且絕大部分都通過了第三方機構 (如 ISO) 的認證。我們的環形漸進式部署 (ring deployment) 也涵蓋了敏感與營運關鍵環境的部署。