Page 51 - 銀行家雜誌第107期
P. 51

從資安的觀點來看,在機密性、完整性與可用性的
              優先順序上,可用性確保生產不中斷,通常為OT環

              境最重要、最優先的考量。







              設備與產品只能靠廠商更新來確保安全嗎﹖                              合自動化檢測作業,透過標準化並搭配人工作業
                                                               才由機器放行接入正式網路,利用系統化自動標

                  廠商提供的設備或產品,雖然有可能使用的是                         準檢測機制,減少人員犯錯的可能。
              大家熟知的作業系統,例如Windows或Linux,但                           2.最小權限原則。新服務、新業務推展時,
              因為生產機台產品常高度客製化,甚至有獨家開發                           須開放更透通資訊交換,且思考是否在開放的同
              的裝置驅動程式來驅動相關的硬體設備,也導致                            時,也開放了不必要的服務或權限,避免整包開
              縱使熟悉作業系統的IT管理人員也不敢輕易嘗試                           放,也把漏洞一起開放了。
              自行更新系統,以免機器設備對更新不相容而導                                 3.徹底落實最基礎的資安維運作業在各個角
              致當機或機台不穩定,反而造成產能受影響。                             落。例如:更新管理容易被忽略在隔離網段內的
                  也因此,設備產品的更新多仰賴原廠的支                           機器,隔離的網段不代表不需要更新,仍應建立

              援,這情況不只是產線機台,許多網通設備看                             適當的更新管理機制。定期的技術或管理上的查
              似整包包裝好的產品,其實也可能內建Embedded                        核,讓藏在細節的魔鬼有機會顯露。
              Windows或Linux,但經過封裝或未提供管理者帳                           4.資安需考慮防線失守,最壞的情況發生
              號,能執行的檢測作業或更新作業也易受到限                             時,還能做些什麼進行應變。這樣的風險應變思
              制。即使如此,我們建議可從管理面來加強風                             考,將有助於縮短發生資安事故時的緊急應變與
              險的控制,例如,從廠商了解核心使用的作業                             災損控制所需時間。例如,在隔離網段設計分區
              系統,可針對相關資訊列管,一旦有關聯所屬                             控制存取機制,避免問題發生時,問題蔓延與擴

              的作業系統層的共通風險弱點被發現揭露,例                             散到一發不可收拾的程度。
              如本次Windows  ms  17-010 漏洞具共通性,便                       5.公司高層親上火線面對媒體,危機管理處理
              可主動要求設備廠商準備與測試更新相容性與                             得宜。傳統的重大危機處理,對外多找發言人代表
              穩定性,於更新前也可透過存取管控等方式,                             發言,但這次該廠在發生資安事故後的處置上,迅
              減少暴露風險來暫時因應,將風險列管改善進                             速找出問題根因,提出解決方案,且由總裁親上火
              度。透過這樣的管理,在有需要導入新設備、                             線展現虛心改善誠意,化解網路上的各項流言,
              新技術到該網段區域,才有資安角度的資料可                             解決投資大眾與重要客戶的疑慮,在公關危機處
              供評估與風險控制管理。                                      理上,也做了一個相當好的示範。
                  雖然這次的資安事故發生在科技製造生產網                               資安能否落實,最重要仍是在思維上的調

              路環境中,生產效率與資安保護考量常有優先順                            整,以往所熟知的安全環境,在日益複雜的應用
              序上的不同,但在資安管理與危機處理上,仍有                            場域下,也可能引入新的風險或威脅,如何在思
              許多可供學習之處:                                        維上轉換,與時俱進,確實落實PDCA循環,持
                  1.人往往是資安最大的弱點,再嚴謹的SOP                        續檢視與精進資安維運管理,才能確保資安管理
              標準作業程序,有可能因為人的因素而有失誤,                            的落實與有效性,確實達到風險的控制與管理。
              這次事件該廠的後續改善方式聲明,也表示將結                           (關貿網路公司資安整合服務部/整理)






                                                                                                            51
                                                                                         台灣銀行家2018.11月號





   1          5%     JOEE                                                                                                 ɪʹ
   46   47   48   49   50   51   52   53   54   55   56