8 / 11 - 12

南港展覽二館

Resilience Matters

韌性決勝

資安新知 Cyber Insight

資安防護第一步~善用控制框架,檢視防禦能力

    分享這篇文章:

宏碁資訊服務 資安規劃及應用部 經理 黃文亮

企業最常問的問題不外乎:資安要做好需要投入多少金額?企業投資那麼多資安防禦設備,是否有疊床架屋的問題?又或者每次有新聞的事故,企業就要開始尋找對應的解決方案……...這些問題一直反覆不停發生。

企業往往覺得「只要企業通過ISO 27001認證,就代表有做好資安防禦工作」,其實這是錯誤的觀念。以 ISO27001 而言,它是目前國際公認的資訊安全管理體系,能夠讓組織建立完整的管理制度,並且從風險的角度來實施所需的控制措施,但 ISO 27001 屬於管理流程管的是人,有管理的流程就需要有技術的框架去做輔助,善用技術的框架對企業才能帶來好處,優點如下:

第一、盤點現行設備,對於目前網路攻擊,是否有足夠防禦能力。
第二、盤點現行設備是否太過於老舊,對於新的攻擊手法需要重新加強防禦。
第三、用風險的角度善用控制框架,做短、中、長期的資安規劃。
當越來越多進階攻擊企圖躲避預防性的防禦,此時企業需要有一套控制的框架,來檢視內部防禦設備能力,這一套控制框架屬於技術層面,建議善用 CIS(CIS Controls )框架以建立最基本的架構。

CIS 框架裡分為基本型、基礎型及組織型三大部份共 20 個控制項。基本控制群組是每個組織都應該實施的基本防禦方式,原則上具備基本的 IT 基礎架構掌控能力、以獲得最起碼的網路安全,因此被稱為基本型(Basic)控制。許多重大的資安事故會發生,往往是因為缺乏基本的控制,或是實施得太少所導致。

實施基本型控制之後,下一步是建置基礎型(Foundational)控制,也就是CIS Controls的第2種控制群組,它們是技術層面的最佳實務,能提供顯著的安全效益。
CIS Controls 的第 3 種種控制群組,稱為組織型(Organizational)控制,主要目標是與人員、流程相關的控制,企業有了管理流程 ISO27001 再搭配 CIS 技術框架,才能確保企業內部針對現今的攻擊手法,有足夠的防禦能力。

綜合以上,宏碁資訊服務資安團隊本著多年實戰經驗及對資安趨勢的觀察,推出 Blue Team Service 顧問服務,提供企業全方位的資安防禦術!

更多精彩的 Cyber Insight