新的一年,又到了制訂計劃、開創路向的季節。在企業資訊保安行業,雖然沒有人能用水晶球預言今年會出現怎樣的黑客和病毒,但根據行業和技術趨勢,我們可循三個方向提供建議,幫助企業主管思考,機構怎樣應付未來的挑戰。
具規模的企業,多數已把企業資訊保安工作,發展成資訊安全監控中心﹝security operations centre,簡稱SOC﹞──由保安專家進行 24 x 7 的全天候監控,提供快速有效的突發事件處理機制,維護企業運作。隨著黑客和病毒的轉變,SOC 也要調節資源和程序,在兵賊攻防戰上與時並進。
養兵在雲端
第一個方向是,以雲端網絡為基礎藍圖,審視機構分散各處的用戶、數據,和接入點。無論在機構建築物內,或透過雲端接入點連接的用戶,誰可存取哪些數據,應該有清晰的控制程序。要做到有條不紊的雲端監控,平日必須預備若干人員、程序,和工具。
遇上保安事件,企業必須快速調動大量網絡資源應變,但這些資源平日需求不大,最好毋須佔用太多常設預算。這類「毋須養兵千日,卻要用在一朝」的資源,現在可透過市面的偵測及處理託管服務﹝managed detection and response,MDR﹞,及託管保安服務﹝managed security services,MSS﹞方案取得。
內外兼顧的協作
第二項建議是,企業 SOC 要兼顧對外和對內的協作。現在不少保安風險來自環球病毒或黑客,企業最好能對外連接情報共享和通報機制,迅速取得和風險相關的 IP 位址、總和檢驗碼﹝checksum﹞等。例如去年 5 月的 WannaCry 勒索軟件攻擊,不少機構透過 STIX、TAXII,及 CybOX 等開放標準的保安通訊協定,從 IBM X-Force 研究隊取得免費防禦情報。
對內協作方面,機構平日要制訂內部政策和程序,既要靈活應付不同處境,亦要有自動急救程序,遇事時能快速限制傷害蔓延,及早恢復運作。
融入人工智能
第三個方向是,資訊保安涉及的資訊量持續膨脹,加上資訊保安專材短缺,都令企業資訊保安開支上升。人才昂貴而不可得,企業可考慮在資訊保安引進像 IBM QRadar Advisor 一類人工智能方案,支援保安團隊過濾外界通報資訊,監控內部系統數據存取活動,幫助 SOC 隊伍作出更快更準確的決定與行動。
作者: Job Lam
IBM 香港資訊安全業務總經理
