駭客思維助攻台灣資安! DEVCORE 首度與微軟共同探討 CISO 資安投資策略

駭客思維助攻台灣資安! DEVCORE 首度與微軟共同探討 CISO 資安投資策略

資安長在金管會要求下成當紅高階人才,如何在合規基礎上掌握當前資安威脅趨勢、安排資安資源調度?攻擊型資安公司 DEVCORE(戴夫寇爾)日前受微軟邀請,現身微軟 Microsoft CISO Salon,以白帽駭客觀點分享企業資安風險以及對資源配置的思維,更與微軟相關人士共同探究企業的資安最佳投資策略。

微軟自今年四月啟動 CISO Salon 企業資安團隊交流平台計劃,廣邀業界人士探討技術、法規、市場趨勢及人才培育相關議題,DEVCORE 受邀成為首位擔任 CISO Salon 的外部合作夥伴,共同找出資安最佳配置方式,進而提升各產業的資安防護能力。

資安風險防不勝防,攻擊方思維助攻資安長事半功倍

疫情加快產業數位轉型的腳步,使更甚以往的資安威脅成企業隱憂;金管會近期也宣布以兩階段要求上市櫃公司設立資安相關單位,致使大型企業紛紛啟動尋覓合適資安長、制定更縝密的資安策略。

DEVCORE 作為臺灣少數專注於世界級攻擊手法研究,具備豐富檢測及網路安全風險評估經驗的「攻擊型資安公司」,以「攻擊方」思維協助資安長們評估風險與配置資源。DEVCORE 執行長翁浩正於 CISO Salon 中提出,企業現行遇到最大困境並不是來自於法規的難以遵循、或是尚未擬定策略,而是資安風險的戰場遠比企業想像得更⼤,在防禦者與攻擊者雙方資訊不對等的情況下,企業難以由駭客視角辨識出其重點攻擊區域,進行有效的相應防護配置,導致未設防禦的區域往往成為攻擊入侵路徑,進而造成企業損失。

DEVCORE 執行長翁浩正表示,「建議企業檢視風險時,不應只是檢視法規要求項⽬來挑選防護範圍及標的、採購資安設備及服務,而可藉由如紅隊演練、滲透測試等外部之風險評估方式以綜合考量,驗證企業投入資安防護的有效性,持續檢驗資安資源的投入情形,包含:盤點監控涵蓋率、事件的準確性及回應時間等,找出未知風險所在。」

資安資源配置不只是增添預算  正確評估風險範圍更關鍵

不僅如此,隨著資安危機頻發,企業投入資安領域的預算也成關注焦點,多數組織已經配合法規以及基於永續經營的考量,提高資安預算比例。然而根據 DEVCORE 長年經驗觀察,不少企業在預算編制及考量上過於著重已知、現存的漏洞,卻忽略尚未被發現的系統漏洞也可能對組織造成高衝擊,因此若能將預算配置於讓具攻擊能力的外部團隊協助演練,將有機會有效降低風險。

「企業應有所認知,資安預算作為維持企業穩定運作的重要一環,不應只是 IT 預算的一部分,而應是從持續營運的角度進行思考。戰略思維往往比單純購買武器更有效,企業應依真實風險來投入預算或進行採購,透過風險評鑑範圍擬定相稱的預算規劃,來最佳化資安投資。針對風險評鑑範圍,則可考慮化被動為主動,從『駭客思維』出發,透過紅隊演練找出系統潛在威脅區域,充分優化企業內風險評鑑機制,完善整體資安防護品質。」翁浩正於會中分享。

DEVCORE 與微軟攜手 協助臺灣企業抵禦資安挑戰

DEVCORE 作為世界級攻擊型資安公司,在 2017 年正式推出紅隊演練服務,協助包含政府單位、金融、半導體、電商、醫療等對資安有高度要求的產業檢視安全防護是否到位,更透過實際演練進一步驗證企業資安防護能力,並且挖掘是否有潛在漏洞的存在。

除此之外,其研究團隊過去曾經回報如 Pulse Secure、Fortinet、Palo Alto、Jenkins 等超過 30 種產品類型的漏洞外,也獲得如 Amazon、Facebook、GitHub、Goolge 等企業的漏洞獎金肯定;DEVCORE 團隊並曾領先全球發現並於第一時間通報 Microsoft Exchange 伺服器的零時差漏洞(Zero-day exploit),讓企業得以及時修補該漏洞以避免更大損失的產生,DEVCORE 團隊也在同年 3 月 2 日獲微軟公開致謝。

臺灣微軟 Microsoft 365 事業部副總經理朱以方表示,「臺灣微軟相信資安不是單一廠商的責任,而是透過分層負責的方式,各司其職,企業才能透過既有資源,將所有資安情報整合到單一平台,即時監測,達到最大程度的資安防護,而唯有企業擁有具備一定資安專業的人才,才能真正落實這一點。這次很榮幸可以邀請到 DEVCORE 參與微軟 CISO Salon ,共同協助臺灣企業與組織迎戰無所不在的資安威脅及攻擊,共同抵禦資安挑戰,為臺灣資安防護盡一份心力。」

羅子茜
作者

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則