KPMG 安侯建業:60% 到 70% 的雲端資安問題不是由駭客攻擊引起,其實來自系統配置錯誤

微軟 Windows 作業系統於 7 月 19 日大當機,導致多達 850 萬台的設備出現藍白當機畫面(BSoD)、自動開關機等狀況,本集《全新一週》邀請 KPMG 安侯建業顧問部營運長謝昀澤探討事件發生的原因,並深度剖析企業使用雲服務提高資安防護的策略,以及企業執行零信任架構的時候,如何在資安防護和業務流暢取得平衡點。

 

 

謝昀澤表示,微軟這起系統當機事件被外界視為「IT 史上最慘的災難」,發生原因是 CrowdStrike 提供的雲端安全軟體更新版本後,尚未經過完整測試就直接被部署至正式的雲端系統,導致 Windows 作業系統大當機,「我們原本要保護雲端安全的軟體,卻變成一個不安全的問題。」

謝昀澤觀察,60% 到 70% 的雲端資安問題不是單純由駭客攻擊引起的,其實來自系統配置錯誤,「應用程式或安全程式的更新、邏輯設計錯導致系統當機,這種就是所謂的配置錯誤。另外更常發生的就是你把機密資料存入雲端,不小心將雲端儲存槽設為公開 ,這種雖然是一個低級錯誤,但是更常發生。」

企業上雲前,需進行完整的風險評估項目

而企業使用雲服務時,該如何提高資安防護,防範類似的事件發生?謝昀澤指出,最基本的方法就是「雞蛋不要放在同一個籃子裡面」,例如將企業電腦漸進式的更新、使用不同廠牌的防毒軟體、保留一套地端核心系統運行,分散營運風險。

謝昀澤認為,企業上雲前需要進行完整的風險評估,像是評估可靠性、遵法性、替代性、集中性。KPMG 曾經協助客戶評估集中性,一盤點就發現不少客戶將 70% 的核心系統、核心流程或是雲服務委託給同一家廠商,「我認為還是要適當的考慮,至少你要先盤點過,心底有個底『我們現在有 70% 的應用程式託付給這家廠商』。至於要不要進一步打破這樣的比例?這個我們可以考慮,但是我們對這個廠商的要求,也要有 70% 到 80% 的關注度。所以上雲之前你要做過完整的風險評估項目,這樣是一個比較好的做法,而非直接把東西搬遷上雲。」

企業執行「零信任架構」取得平衡點的 4 關鍵

隨著 AI 技術快速進步,也讓駭客與攻擊者擁有更多機會。在這個情況下,企業如何建置「零信任架構」,確保資安的防護?謝昀澤表示,零信任架構的概念是任何設備、應用程式、服務都不能自動被信任,內部的網路與用戶也不例外,「過去我們都會認為同一個公司、跟我們同住在一個屋簷下的人都可以被視為安全的,只要防止外面的宵小,但是攻擊事件日益增加,還有一些偽冒的問題,讓過去那種觀念已經不夠用。在零信任架構之下,企業需要驗證每一個進入系統的用戶,包括系統內部、外部的連線都要驗證,每一次用戶請求需求也需要驗證和授權,而且授權的時候,基本上你只能給他最低權限,這也是零信任的一個基本概念。」

再談到企業執行零信任架構如何取得平衡點,讓用戶不會覺得過度麻煩但又能保障資?謝昀澤以金融業為例,金融業對資安的要求度高,但是又重視業務流暢性,建議可以考慮下面幾點:

第一,風險場域或風險的熱區先行。例如在高風險場域,你是遠距辦工、雲端存取、你是重要系統在維護的情況下,企業應該要優先執行各種強化的措施。

第二,不同安全層次的防護或分類分級。在不影響使用者的體驗下,企業要加強安全的性能,例如針對敏感、高權限帳號的修改,或者是你要修改阻擋對策的時候,才額外啟用這些相關的驗證機制。

第三,可以根據使用者模式調整。當監控結果被判定成危險行為、危險因子的時候,企業再去強化啟動驗證步驟或機制。

最後一個就是溝通。不管是跟內部的使用者還是與消費者溝通,要強調為什麼要這樣做,以及目的是什麼,「當然能夠盡量考慮使用者體驗的過程、方便性還有效率,同時兼顧是最好的,」謝昀澤表示。

 

You may also like...

發佈留言