線上風雲／企業資安 三支預防針

近期台灣多家知名企業陸續發生資安漏洞，如用戶個人資料被駭客揭露，或是爆發資訊駭客入侵事件…處處可見資安危機頻繁。

儘管企業迅速反應，並配合行政單位做通報與調查，但對於公司的傷害已經造成，也影響社會對其信任程度與品牌印象。目前行政院所已針對企業所發生之資安事件祭出的更高的行政罰鍰，但除了事後補救之外，企業主該如何在危機發生前便做好萬全準備，降低系統暴露在風險之中的機率？

我認為，在充滿風險與挑戰的「萬物聯網物卡時代」（VUCA，不確定性、複雜性、不穩定性、模糊性），企業需要具備有效的快速應對能力：

一、內建資安（Build Security In）或基於安全設計（Security by Design），在開發產品的第一天就要先考慮資安：意即建立一個有效的資安姿態——從開發初期就考慮資安，採用內建資安或基於安全設計的方式，將資安納入到產品的開發過程中。

二、了解威脅並持續的自動檢測，爭取在第一時間便識別威脅：如DevSecOps（Development-開發、Security-資料安全、Operations-維運）就是實現自動持續安全審視的管理方式，它將資安納入到DevOps的過程中，融合開發、測試和運營，實現自動化持續地審視自己的安全。

三、資安需要不斷優化，動起來就有勝算：資安防禦沒有最有效的方法，唯有了解不斷出現的威脅並持續自動檢測，以爭取第一時間識別威脅、進行快速應對。

當企業在演練「滲透測試」時，應在產品開發過程中就進行檢測，可以快速發現問題，而非等問題發生才進行檢測。綜觀近期企業發生的資安事件，大多是因一次提供給消費者端的服務過多，而忽略檢測所致。由專業角度來看，我主張不要一次完成所有資安事項，而是經由持續檢測，從外部模擬駭客的攻擊方式去檢視系統漏洞。

在技術方面，資安的「縱深防禦」也很重要，意即在每個階段提供防禦措施，以減少機密外洩的風險。這些措施會有一定效果，但如果下一個問題不是資料外洩，而是基礎建設的洩漏，這些措施就可能無法解決問題。因此，仍然建議持續從外部檢視系統、尋找外露的資訊，並儘可能減少可能的漏洞，是在現階段技術快速迭代的狀況下比較有效益的。

最後，建議一般企業可以導入以駭客思維、由外往內透視風險的工具，例如逆向網域探索技術，以快速挖掘公司的潛在風險和目標，這套多層次探索工具可快速挖掘公司潛在風險與目標，目前已經協助回報多間跨國上市公司（包括 ASUS、CISCO 等企業）提早識別風險，並採取相應的防禦措施。

總之，建立一個正確的資安姿態非常重要，需要採取有效的快速應對措施，並採用相應的工具和技術進行防禦。最好從開發產品的第一天就考慮資安，同時建立緊急應變、沙盤演練的習慣，提升企業數位韌性，才是防範資安的不二法門。