由自由時報及第一銀行於日前共同主辦「數位轉型下的資訊安全防護論壇」,活動邀請到許多專家學者蒞臨,關貿網路副總經理兼資安長方念德亦受邀現場分享「數位科技應用與資安防護發展」,呼籲企業正視資安議題,透過技術與制度的建立確保資訊系統/軟體的安全;要求供應鏈、資訊供應商落實資訊安全作業,並尋找可靠之資安服務商協助,建立「主動防護」的概念與制度,將資安落實於日常作業,甚至成為企業DNA。
方念德表示,在政府推動「資安即國安戰略2.0」政策下,許多企業已開始強化自身資安防護能量,包含硬體設施、軟體、人才培育,卻未重視資訊供應商與供應鏈廠商的資安防護。目前國科會科技辦公室已參照美國CMMC 2.0框架,規劃推出「供應鏈資安成熟度平台」,與歐盟、美國、日本等多個先進國家同步發展,初期由企業以自評方式執行,未來將交由專業機構評定,加強供應鏈的資安防護。
方念德也指出,近三年較常見的資安弱點包含有系統老舊未更新、以第三方為跳板的攻擊、遠端上班造成多端點難控管、社交工程攻擊無從防禦都是企業常見問題,企業可先盤點現有系統,對每一個風險項目進行評估及處理,並持續監控及列出應變處理方案。另也建議企業將資安視為自身的DNA,凡有資訊系統,從規劃、設計一直到驗收上線運營,每一個節點都應考量到資訊安全,排除一切成為破口的可能,並培養員工日常的資安警覺性。
關貿網路也以自家資安服務為例,建議企業採用多元防護管道,以7×24小時全時SOC監控作為基礎防護措施,並搭配APT進階持續性威脅防護,來偵測尚未被定義為病毒的可疑程式或軟體以及內部不明流量,而平日須養成員工對於惡意郵件的警覺性,可進行社交工程演練並定期追蹤列管及改善,最重要的是必須有值得信賴的資安顧問服務,才能與時俱進跟上全球資安趨勢。