Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱
  • Twitter
  • Facebook
  • LinkedIn

新冠病毒應對策略給我們的啟示:業務與網路安全之間的斷層

新冠病毒應對策略給我們的啟示:業務與網路安全之間的斷層

隨著全球企業競相制定因應新冠肺炎疫情的策略,一項獨立的企業風險研究顯示,網路安全主管多半被排除在外。

全球新冠肺炎疫情帶來了許多深遠的改變,其中之一便是企業規劃與管理業務風險的方式。不過,許多網路安全主管卻依然難以參與決策。 

事實上,Forrester Consulting 代表 Tenable 執行的一項研究顯示,業務主管與網路安全主管之間存在著令人擔憂的斷層。雖然幾乎所有受訪者 (96%) 都表示自己的企業已經制定新冠病毒的應變策略,75% 的人認為業務部門與安全部門的配合最多只到「稍微」的程度而已。

這樣的情況令人相當憂心,尤其是現在為了因應疫情,企業突然廣泛採用在家工作的模式,導致公司網路中湧現大量終端使用者裝置。過去,遠端桌面只是做為一種可有可無的產品,面向一群特定的員工,現在卻成為許多員工賴以維持企業運作的必要工具。突然之間,員工紛紛使用自己未經過測試而且可能含有弱點的消費性路由器和家用網路,連線到核心業務系統與應用程式。而由於物聯網 (IoT) 裝置受到歡迎,因此也成為潛在的威脅媒介。普通的家用網路可能含有 Amazon Alexa 或其他語音聲控工具、連線至網際網路的電視與電玩裝置,以及員工配偶、子女或家中其他成員所擁有的各式筆記型電腦、平板電腦和手機。

根據布魯金斯研究所 (Brookings Institute) 估計,截至 2020 年 4 月 9 日為止,高達半數的美國員工都在家工作,該研究所稱之為「巨大轉變。」此外,皮尤研究中心 (Pew Research) 的研究顯示,疫情之前,美國民間企業、州政府、地方政府的員工只有 7% (約 980 萬人,員工總數為 1.4 億) 享有「彈性職場」的福利或是能夠選擇遠端工作。

現在,網路罪犯趁虛而入,利用呈指數擴張的攻擊破綻。同一份 Forrester 的研究還指出,截至 2020 年 4 月中旬,10 家企業中有 4 家 (41%) 已經遭遇過至少一次影響業務*的網路攻擊,原因來自與新冠病毒相關的網路釣魚或惡意軟體手法。資料是取自研究「和業務單位密切合作的安全主管之崛起」,以一份針對 10 個國家、超過 800 位業務主管與網路安全主管的線上調查為基礎。 

該份研究中,與新冠病毒相關的詐欺在所有影響業務的網路攻擊來源中,位居第 1 名。雖然世界衛生組織在調查進行僅幾週前宣布新冠病毒疫情為全球大流行,等到研究進行時,新冠病毒相關的攻擊早已遠遠超過其他影響業務的攻擊,例如詐騙 (40%)、資料外洩 (37%)、勒索軟體 (36%)、軟體弱點 (34%)。

就個人而言,我認為調查結果恰好驗證了我的想法:擔心上述趨勢的安全主管並不只有我一人。根據 Forrester 調查,三分之二 (67%) 的受訪者表示自己非常或極度擔憂新冠病毒帶來的必要人力變化,將增加任職企業的風險等級。 

更糟的是,該調查中將近半數的網路安全主管 (48%) 表示,自己對於在家工作的遠端員工能見度為中度至零 。

消弭這種斷層的關鍵之一,就是企業在制定風險管理策略時,需要納入網路安全。 

風險管理如何協助您成為與業務單位密切合作的網路安全主管

資安長、安全長、其他網路安全主管適合在風險管理中擔任更重要的角色,在業務永續性、災難復原、危機管理的相關領域中亦是如此。我們的工作正好讓自己處在技術與業務的交會點。我們擁有能見度,掌握實現業務永續性與災難復原計畫所要求的所有系統、資料和流程。參與風險管理也會讓工作更容易管理一些:如果能從廣泛的企業風險角度瞭解所有關鍵流程與資產,肯定能讓貴公司在網路安全上也變得更強健。 

執行風險管理活動還能取得一項明顯的營運優勢,這些活動能成為企業業務部門與資訊安全部門之間的橋樑。過程中的發現有助於整個企業掌握為資源排定優先順序的最佳方式,包含人力與財務資源,即使在危機期間也能維持業務運作。  

Sentara Healthcare:有效密切合作的案例研究

Sentara Healthcare 就是一個展現有效合作的案例。Sentara Healthcare 資安長 Dan Bowden 接受 Tenable 訪談時表示,公司的 IT 與安全團隊在疫情初期意識到自己肩負兩項關鍵任務:讓大量員工能夠在家工作,以及協助將普通醫院病房改裝為加護病房 (ICU) 之用,更換照護突然湧入的重症患者所需要的操作技術 (OT) 與物聯網 (IoT) 系統。

Bowden 表示:「三月和四月時,我們的總工作量應該有超過 50% 都放在建立 ICU 病房的容量上,以及研究如何運用減少個人防護設備 (PPE) 消耗的技術。」

雖然最終成功轉換方向,該企業的修補程式陷入了兩個月的混亂。

Bowden 表示:「身為資安長,我非常積極地執行弱點掃描,我們的團隊也是。我們的原則以需求為基礎,因應發現新弱點時的後續措施。當時我們必須稍微調整弱點掃描的時間與修補原則,因為 IT 團隊正在轉換醫院床位。就技術角度而言,一般病房都採特定方式配置。一般病房轉換成 ICU 病房時,其中的許多技術系統與應用程式就會出現連動的改變。我們的基礎架構與應用程式團隊忙於轉換我們提供的病床數量,讓 ICU 病床數大量增加。因此,我們當時必須想辦法繼續遵循修補排程,掌握管理風險的效率與成效。我們非常倚重 Tenable 的弱點優先順序評分完成這項目標。我們今年春夏期間使用評分的積極程度遠勝以往。」

到了六月,修補程式便回到正軌。如今隨著第四季將近,Bowden 面臨重大的預算決定,當然許多經歷新冠肺炎經濟衝擊的產業亦是如此。「我們正努力減少營運支出,使預算恢復正常。我們如何在 2020 年實現損益平衡?我們非常專注於維持基本業務營運不中斷,以及因為新冠肺炎擴散的變化而出現的任何新需求。」

Bowden 補充:「我們的領導團隊極富進取心,告訴我們所有人要『發揮創意,幫助公司找到在疫情中成長的方法。』因此,我們也有幾個相關的大型專案要完成。」

顯示網路安全的投資報酬率

全球企業面臨經濟可能長期維持不確定性時,依據風險替各項投資排定優先順序就變得至關重要。Forrester 的研究顯示,安全與業務單位密切合作時,就能交出亮眼成果。例如,85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全投資報酬率及業務績效影響的指標,而在被動、孤立行事的安全主管中,只有四分之一 (25%) 能掌握這些指標。和業務單位密切合作的安全主管對於向其企業報告安全或風險程度的能力,與獨立作業的安全主管相較,其自信心也高出了 8 倍。其中絕大多數的人 (86%) 都備有流程,可提出明確期望,做出持續流程改善,而偏向被動回應與孤立作業者則只有 32% 能夠做到。 

參與制定自己企業的企業風險管理 (ERM) 策略是理想之舉,如此將可讓您朝著與業務單位密切合作的網路安全主管邁進。

以下六個步驟將協助貴公司進行初始的企業風險識別與評估:

  1. 制定風險評估調查並傳送給關鍵利害關係人。這些調查通常是交由資深總監及更高層級處理,同時應該納入貴公司所有主要部門的代表,包含財務、法律、人力資源、資訊科技、資訊安全、銷售、營運、行銷、研發。調查完成後,建議將回應統整成風險類別,以便彙整出企業風險的清單。
  2. 執行研究與分析,以產業風險調查與貴公司的企業風險互相比較。
  3. 制定風險評估方法,包含機率與影響,以取得總風險分級。 
  4. 找出貴公司的關鍵主管,投入時間進行訪談,取得他們對風險和排定優先順序的意見,以及風險機率和影響。
  5. 向高階主管呈報風險評估的結果,確立最高的風險並指派高階主管層級的風險負責人。
  6. 與高階主管層級的風險負責人合作,判別最高風險的降低風險措施。

執行上述步驟雖然艱辛,卻能帶來極高的效益,提供一組明確的優先順序。您將能掌握共同制定的企業風險清單。網路安全本身可能成為獨立的企業風險,也肯定會以某種形式影響許多企業風險,甚至是所有風險。 

將企業風險評估結合業務影響分析,對業務永續性與災難復原而言非常重要,可確立貴公司最需要的關鍵系統與業務程序。風險評估與影響分析可成為基礎,用以制定與業務單位密切合作的網路安全策略。貴公司將取得專屬的最關鍵企業風險與流程清單,進而在遭逢危機時,實現為應變措施明確排定優先順序的做法,無論危機是否來自於網路攻擊、天災或全球疫情,皆能順利應對。業務營運恢復正常時,也沒問題。 

風平浪靜之時,企業很容易以為企業風險管理就只是按表操課演練,交給風險專業人員組成的團隊就好。而面臨新冠病毒疫情,業務與技術主管這才發現自己得上一堂危機管理速成課。我們都應該將危機當成轉機,重新思考因應企業風險的方式,以便為不順遂的時期做好更完善的準備,在一切順利時則能掌握先機。 

本系列其他的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。此外,本系列也探討了新冠病毒應對策略給世人的啟示,分析業務與網路安全之間的斷層,並且反思資安長需要與高階主管及董事會溝通時,現有的網路安全指標為何不足。 在接下來的文章中,我們也將討論與業務單位密切合作的網路安全實務應該如何進行,以及您如何在貴公司內著手建立這樣的合作關係,並提供我們的秘訣與建議,將您本身的角色轉型為與業務單位密切合作的網路安全主管。

深入瞭解

*出於本調查需要,「影響業務」是指造成下列任一或更多後果的網路攻擊或入侵相關之事件:損失客戶、員工或其他機密資料;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

免費試用 立即購買

選擇 Tenable.io

免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊。

立即購買 Tenable.io

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。完整詳情請見此處。

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

取得 Tenable.sc 產品示範

請填寫以下表格並附上您的聯絡資訊,我們的業務代表將盡快與您聯絡,以安排產品示範。您也可以附上簡短註解 (字元上限為 255 個)。請注意,標示星號 (*) 的欄位是必填欄位。

免費試用 聯絡業務人員

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

申請 Tenable.ot 產品示範

取得您所需要的操作技術安全性。
降低您無法處理的風險。