方念德表示,在政府推動「資安即國安戰略2.0」政策下,許多企業已開始強化自身資安防護能量,包含硬體、軟體、人才,卻未重視資訊供應商與供應鏈廠商的資安。目前國科會已參照美國CMMC 2.0框架,規劃推出「供應鏈資安成熟度平台」,與歐、美、日等多個先進國家同步發展,初期以企業自評方式,未來將交由專業機構評定,加強供應鏈的資安。
方念德也指出,近年常見的資安弱點有系統老舊、第三方跳板攻擊、遠端上班難控管及社交工程攻擊都是,企業可先盤點現有系統,對風險項目進行評估處理,持續監控及列出應變處理方案。另建議企業將資安視為自身的DNA,凡有資訊系統,從規劃、設計一直到驗收上線,每個節點都考量到資訊安全,排除一切成為破口的可能,培養員工資安警覺性。
關貿也以自家資安服務為例,建議採用多元防護,以7×24小時全時SOC監控作為基礎措施,並搭配APT進階持續性威脅防護,偵測未被定義為病毒的可疑程式或軟體以及不明流量,平日須養成員工對於惡意郵件的警覺性,進行社交工程演練並定期追蹤改善,更要有值得信賴的資安顧問服務。
