近年来,企业的经营愈来愈困难。除了经济景气的循环之外,天灾人祸频仍,让企业的营运更加艰困。在这样的环境下,如何让营运不中断,成为企业最重要的课题之一。当灾害来临时,能持续营运而不中断的企业,才能保有其竞争力。除了地震、洪水、非典,以及禽流感等天灾之外,企业营运大量仰赖信息以及网络系统,也让信息安全上的灾害,成为中断企业营运,造成严重损失的重大人祸之一。
威胁已经从外部转向内部
根据美国洋基集团一项针对北美和西欧六百家公司的调查显示,2004年的安全问题有5成源自内部,高于前一年的3成。该集团表示:“威胁已从外部转向内部”。每年企业界动辄投资上千万防毒防黑,但企业防御失效的另一个容易被忽略的问题是:来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日,有可能因为一个访客携入的计算机而瘫痪几千万IT设备。
从病毒造成破坏的情况来看,系统与网络无法使用、浏览器配置被修改、使用受限和数据部分流失是病毒的主要破坏方式,其中针对网络的破坏呈现上升趋势。这些破坏都属于显性破坏形式,易发现、后果明显,容易恢复。
然而近期针对盗取各类敏感信息的木马程序呈现上升趋势。这种盗取活动往往较为隐秘,用户难于发现,属于隐性破坏,具有隐蔽性强、危害性大、目标明确的特点。攻击目标集中在用户的银行账号、网络游戏的装备等信息和虚拟资产,将是今后病毒的主要破坏形式。
网管员面临的六大管理难题
许多企业尽管拥有了先进而昂贵的信息安全设备,但“政策”或“人”往往无法配合,产生了很大问题。根据趋势科技全球防毒研发暨技术支持中心TrendLabs分析归纳指出,企业信息管理部门目前面临的信息安全管理难题,主要有以下六点:
1. 光靠防毒及其它信息安全软硬件,并不足以对抗网络威胁
2. 针对漏洞发出的攻击,让人根本来不及反应
3. 没有人能够24 小时全年无休工作。(除了间谍软件等恶意程序)
4. 缺乏中毒的网络管理日志历史数据,无从拟定正确的防毒策略与管理计划
5. 员工总是无法从每次病毒灾难中记取教训
6. 商机与商誉,在网络恢复运作之前,只能眼睁睁地流失
这些信息安全管理上的难题,往往并非企业中的信息部门人员可以独力解决的。许多企业将所有的问题归咎于信息部门人员,不但不公平,同时也无法真正解决问题。信息部门多样而繁杂的工作,以及有限的人力,使得信息安全管理的工作,成为其沉重而无法独力承担的责任。
信息安全服务:未雨绸缪化解威胁
信息安全专家所提供的服务方案,应针对威胁周期的每个阶段,提供企业所需的服务。以人类的健康检查作为比喻,信息安全专家应不只是被动地拿着处方笺开药的药剂师,而应扮演企业的“全天候健康管理顾问”与“专属医生”的角色。为了让企业在连上网络时,不至于因病毒事件影响企业运作,专家服务方案应在网络世界扮演着类似世界卫生组织角色,对于各种威胁网络健康的疫情,都能主动防护、密切的监控并提供解决方案。
一旦某区域爆发变种疫情,世界卫生组织会迅速提出控制疫情改善方案。同样地,持续监控应是信息安全专家服务方案的主要着眼点,在全天候中央管理的持续监控下,一有风吹草动,资安专家立即出动提供所需服务。24×7的实时且专人不间断监控,就好比在企业网络植入隐形芯片追踪一般,随时掌握状况,化解未知威胁。
这样的做法,能够比客户更早掌握状况,且可在第一时间内主动防御,在灾害未发生或规模不大时,就将问题解决,而不是等到灾害大量扩散至整个企业时,再来收拾残局。
也许有人会说,企业可以自行进行监控,来达到及早预防的目的。但问题是,企业可能拥有各项信息安全管理工具,却不见得知道如何着手建立信息安全架构。就像网络生病了,却不知道买回的成药,是否适合企业体质一样。
而通过信息安全专家的监控中心,持续分析企业内部的安全事件,建立企业内部防毒效能的安全指标,找出企业内部的安全隐患,并提供专业的解决方案和建议来改善企业内部的防毒效果,应该是一个更妥善的方式。以保安业来模拟,多数的企业通常并不自行征聘内部人员,来做办公大楼的安全监控,而是寻求保安公司的专家协助。
主要的原因,并不在于不知道如何采购大楼的录像监控设备,而是希望能够借重保全专家的知识及经验,达到有效的监控。
成功的防毒专家服务方案,应该要针对内部的隐性威胁,诊疗把脉,量身订作,提供未雨绸缪的预防性维护,以防止病毒爆发,并确保营运不中断。尤其重要的是,这些防毒专家服务方案,应该提供全天候戒备的防毒专家、安全威胁生命周期(Security Threat Lifecycle)的全程管理,再加上通过独特的评量方法,来评估顾客的安全防护效果。
信息安全服务的必要工作
以下几项工作,是信息安全服务中所不可或缺的:
提升组织整体安全意识
安全政策,不应再单单是信息部门的责任:企业对于组织安全的认知,应通过整体安全分析与定期健康检查获得提升
强化执行作业程序
使内部恐怖份子,不再有机可乘:提倡强制实施应变作业程序,并针对特定目标提供安全训练,协助建立必要的作业程序,以降低并控制病毒爆发事件的损害。
建立应变能力
将危机处理程序标准化,不再手忙脚乱:信息支持人员能在最短的时间内取得专家所提供的病毒码、清除工具以及病毒信息,能针对病毒爆发事件拟定一套顺畅且有效的应变措施
建构安全环境
与全球数百名安全菁英并肩抗毒,不再孤军奋战:寻求防毒安全厂商数百名专家的帮助,来进行防毒架构设计与防毒解决方案部署等工作,协助企业强化信息环境的安全性。
从“花钱”变成“省钱”
除了以上提到的信息安全管理工作之外,一般企业通常难以评估安全方案的效益。因此,提供专家服务的厂商,也有义务提供创量化式的风险管理,在评估阶段,依照持续观察追踪,提出改进之道。防毒顾问服务应扮演着公正客观的中立分析者角色,通过防毒效能指标的评估,检查并修改目前的效能指标,以确保或增进防毒效能。
另外,防毒安全专家也必须提供系统化的防毒分析报告让客户检视防毒的效能,并定期提出防毒建议。这样可以随时根据企业组织体质调整、自我更新的网络健康服务,是购买软件包的成药式方案所无法比拟的。
最领先服务趋势的是,连向来难以计算ROI的信息安全投资,也可以提出具体数字,让 IT 部分从“花钱的部门”变成“省钱的部门”。就短期来看,防毒专家服务方案的利益将反映在病毒爆发事件数量、使用者工作停顿时间以及损害严重程度的缩减。病毒爆发次数、影响范围、以及停机时间缩减之后,将能产生极大利益。
根据趋势科技的估计,采用这样的防毒专家服务方案之后,整体损害将能降低98.6%,病毒爆发次数可减少66%,损害影响范围可缩减50%,而停机时间可缩减92%。
就长期来看,利益将来自于公司整体安全性的提升。当顾客组织的认知程度、应变程序与安全环境因采用防毒专家服务而有所改善之后,恶意程序所造成的损害将迅速减少,而且通过全程的网络威胁生命周期管理,让总体成本不会因病毒爆发而突如其来地攀升。
结语
在今日的企业环境中,信息安全的问题,已由技术层面,扩大到管理层面。唯有正视信息安全的管理问题,寻求信息安全专家的专业服务及帮助,才能真正解决企业的信息安全问题,同时维持企业营运的不中断。本文提出了信息安全专家服务的价值所在、应该做到的各项工作,以及量化了所能达到的效益。
信息安全是一项艰难而却必须持续的工作,但若方法得宜,并由专家提供专业的服务,相信企业必能避免因信息安全问题所带来的各种灾害,让信息部门的资源不再损耗于信息安全灾害的善后处理,能够从事更有生产力的工作,大幅提升企业的竞争力。