在日新月異 IT 資訊科技的加持下,企業得以持續成長與轉型,但也衍生出更多的資安風險,甚至讓攻擊面更形擴大。為了有效因應各種資安挑戰,企業資安預算也呈現出逐年成長的趨勢,政府、金融業與上市櫃公司在主管機關的法規要求下,莫不對資安抱持高度重視的態度,資安已然成為當前不可忽視的顯學。
奉行 Start Left 原則,增進資安隊和維運團隊間溝通
儘管企業資安預算逐年增長,但不同產業因為資安重視程度不一,仍然存在一定程度的落差與安全防護盲點。即使是向來最注重資安的金融業,也因其新舊系統並存、資訊委外及大量運用資訊科技支持其業務而需高度關注其任何可能的曝險問題。
更嚴峻的是,因應日新月異的各種科技演進與變革,雖然企業開發技術與流程能隨之提升,但資安防禦機制是否能靈活地跟上腳步,已然成為企業當前一大挑戰。過去光靠防火牆便能抵禦外部攻擊的時代已成過去,進入多雲時代,企業面臨的安全防護面向太過多元,需要完整規劃才能逐步落實全面性的資安。
叡揚資訊資安直屬事業處處長范家禎表示,進入雲端與遠距辦公時代,過去企業區隔內外部的資安邊界已然不復存在,今後資安必須結合開發與維運進行整體性的考量,才能有效降低日益複雜的安全風險。
多年來,層出不窮的漏洞讓軟體安全一直成為企業資安防護上的一大痛點,我們從近幾年來 OWASP Top10 所列十大漏洞皆無太大改變便可以得知,當前企業仍普遍缺乏相應的資安意識、專業素養,以及有效因應軟體漏洞的解決方案。
▲ 叡揚資訊資安直屬事業處處長范家禎
范家禎強調指出,唯有在軟體開發生命週期(SDLC)的早期加強安全編碼意識、奉行 Start Left 原則,落實程式碼品質的檢測,才能徹底杜絕漏洞攻擊的危害。
為了全面提升安全開發意識,叡揚特別引進了 Secure Code Warrior 線上安全程式培訓平台與機制,提供幾千個免費帳號與 1 個月的授權,同時舉辦多屆的「安全達人養成計畫暨資安戰士挑戰賽」。叡揚協同產業合作夥伴一起讓資安學程內容的籌備更加豐富、完善,讓資安意識遍地開花。
叡揚資訊系統直屬事業處處長何玉雲表示,儘管企業在對於 Start left 已經逐漸有其概念及制度,但企業人力部署的重點仍在即時上市(Time to Market)上而非資安,這也讓資訊安全團隊和維運團隊之間因其任務目標不同而處於緊張的對立關係。
▲ 叡揚資訊系統直屬事業處處長何玉雲
她進一步表示,增進資安和上線/維運團隊之間的溝通,即使受限於人力與時間,企業不妨先協助團隊針對最重要的安全修補準則與方向建立機制並取得共識, 降低部門溝通與可能產生的對立,應能有效降低關鍵軟硬體的高安全風險。
提供 DevSecOps 分工協作最佳實證,選擇良好長期夥伴才是成功關鍵
在資安防護上,企業忙於生產,最常忽略了相關人員的資安培訓,若再加上人員流動,企業開發團隊更無法形成及傳承良好的安全意識、專業及文化,只會讓開發出的軟體繼續漏洞百出。透過上述 Secure Code Warrior 平台將能協助企業提高同仁資安意識,全面提升整體安全開發實力與編碼品質。
針對「DevSecOps」安全開發維運這個英文名詞,范家禎指出,Sec 為什麼要放在 Dev 和 Ops 中間呢?其含意就是安全要同時嵌入到開發及維運這些環節裡面,也就是說,開發就應有安全意識與機制的存在,上線時也該有安全防禦措施。再者,企業導入 DevSecOps,涉及了開發團隊、資安團隊及維運團隊之間的分工合作,但到底由哪一個團隊主導並決策,也成了企業最常碰到的棘手問題之一。
對此,叡揚建議,企業必須做好三個團隊之間的良好溝通,並在工具面之外,尋求良好的導入方法論與實證,徹底釐清三個團隊的權責劃分及任務分工,以及後續的協同合作機制。叡揚將國外解決方案與相應最佳實踐引進國內,在成功落地並微調之後,為台灣客戶提供 DevSecOps 分工協作的最佳方法論與建議。
源碼檢測及弱點掃描已成企業標配,零信任微切分及 API 安全成新重點
隨著製造業引爆火熱的全球化議題,讓台灣走向全世界,同時也帶動了諸如供應鏈安全、SBOM 軟體成份清單等熱門議題的討論;在掀起 Open Source 風潮之際,更讓授權問題及零時差漏洞攻擊浮上檯面並受到關注。
當前企業選擇資安方案的最主要依據,不外主管機關要求和規範、同業比較以及安全事件。其中,源碼檢測及弱點掃描已成為企業標準必備資安方案,企業的防護重點也由此逐步擴及至網路零信任(Zero Trust)、網路微切分(Micro-Segmentation)、無國界的勒索軟體攻擊、雲端安全、端點安全、容器安全、API 安全等領域。
如今更出現新的安全考量,首先,不少企業開始尋求雲端版資安服務來取代原有的地端版資安軟體(例如在原始碼安全檢測上以 Checkmarx One 取代Checkmarx)。在強化 CI/CD 流程自動化安全的同時,尋求將 AI 應用在漏洞修復自動化的可行性。再者,雲地混合環境弱點偵測開始受到重視、其中尤以該環境中的 API 弱點偵測與異常行為分析,近期成為許多企業討論的焦點。
叡揚的 API 安全解決方案,骨子裡是更完整的 API 治理,包含從企業 API 盤點、 API 源碼掃描,到 API納管、使用上的認證授權,再到 API 異常行為分析,到最終移除老舊 API 的全 API 生命週期管理。
技術服務與顧問諮詢團隊雙重加持,客戶成功團隊圓滿神助攻
范家禎表示,當前 SDLC 依序分成設計、開發、建置、測試、發行、部署、維運及監控等前後不同階段,企業在設計階段就應該把資安納入考量,進行安全思維的訓練,並依據不同系統情境設計不同等級的安全要求。
叡揚具備強大的資安服務導入能量,能針對不同企業提供不同的解決方案,而且引進國際上技術領先且歷經驗證的資安解決方案,也包含多款入選 Gartner 魔力象限領導者的原廠。目前叡揚資安團隊將近 70 人,更重要的是,每個產品線各有專責技術服務團隊與顧問諮詢團隊,再加上一流的最佳實踐,能確保客戶產品導入成功。
不僅如此,叡揚資安團隊與維運團隊皆設立強力的客戶成功(Customer Success)專責團隊,定期更新與回報狀況,協助客戶產品更新及後續維運,進一步確保客戶導入各式產品皆能融入其作業程序並充分發揮其效益 。
最完備不過的是,叡揚針對 DevSecOps 中開發、建置、測試、部署、維運及監控等各個階段皆提供一系列相應的解決方案。
何玉雲表示,面對軟體工具及方案的導入,企業常常忽略了其所選擇的重點並非只有軟體本身功能及其價格,另一重要的是,要選擇能長期提供技術支援的夥伴,將此要素納入整體成本考量,才是成功的最大關鍵。
降低從開發到維運所有安全風險,軟體品質、安全及維運效率最大化
叡揚 DevSecOps 全階段系列解決方案協助企業克服從開發到維運的安全問題,讓軟體品質、安全及維運效率最大化。包含台灣某金融龍頭導入叡揚 mend.io 取代原本使用的軟體,在達到全面開源管理的同時,也完美整合客戶既有 CI/CD 自動化流程,產出 SBOM 表與開源軟體風險報告。在減少人工作業誤差的情況下,自動化效益大幅提升。
2022 年曾出現引發開源軟體安全的 Log4J 漏洞,叡揚所服務的客戶就透過 Dynatrace Application Security 模組,在該漏洞公告後不到兩小時內協助偵測到營運環境中有哪些正在運行的應用程式存在這個漏洞,並提供其執行頻率。讓客戶能在搶時間、人力有限的狀況決定修改的優先順序。
隨著政府的開放資料(Open Data)及金管會推動三階段的開放銀行(Open Banking),API 被大量的運用致其安全問題受到高度關注。叡揚也協助包含公股銀行,幾經評估決定導入叡揚 Noname Security(現為 Akamai API Security)產品及服務 ,引進後不但省卻該銀行人工盤點 API 清單的負荷,還能產出所有 API 清單,並可加以納管的顯著效益。此外,叡揚也為證券商快速提升 Java 效能並解決 Oracle 授權問題,其中曾有客戶決定試用叡揚 Azul 平台,於 PoC 測試時在沒有未做任何系統改變的情況下,就讓效能上漲了至少 4 倍以上。
展望未來,叡揚會持續秉持著品質、價值與使命必達的精神,代理最優質的資安解決方案,建立優質的顧問團隊, 提供有價值的服務,成為客戶最值得信賴的合作夥伴。
范家禎表示,叡揚資安團隊今後在引進最佳解決方案的同時,也會積極尋求合作夥伴共同建立聯盟並拓展通路。何玉雲呼應指出,叡揚聚焦並經營自身最擅長的專業領域,攜手客戶走得更長遠,與夥伴並肩追求永續。
(首圖來源:shutterstock;圖片來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
