我見我思－企業提升資安體質 四招不可少

過去幾年間，臺灣大型企業的資安投資力道呈顯著成長，根據 iThome 統計數據，企業平均資安預算從2017年的435萬元，到2023年已大幅提升至約1,408萬元；2022年的資安預算715萬元與實際支出1,193萬元，更有高達近480萬元的差距。而 DEVCORE 統計數據卻顯示，有87％企業在演練過程中外部系統可被成功控制，其中近半數演練曾發現企業機敏資料遭員工不慎上傳至Google Drive、GitHub等平臺，更有71％企業第三方系統存在高風險弱點。因此，無論是線上學習系統、ERP企業資源規劃系統、甚至是辦公室內的實體印表機，都可能成爲攻擊方的攻擊破口或潛在據點。可見得儘管企業資安投入大幅提升，但面對瞬息萬變的攻擊技巧，防護能量仍需因應最新威脅不斷強化。

做好資安如同防疫，只透過 N95口罩、防護衣阻隔病毒侵入是一時之舉，回頭檢視自身配置並提升整體免疫力和防禦力纔是長久之計。同樣地，企業在思考資安時，添置必要的軟硬體設備做好基礎防護固然重要，但透過定期演練、制定防禦應變流程、持續評估資安部署的優先順序及有效性，藉此全面性地提升資安體質，方爲長久應對之道。

我們從紅隊演練經驗中觀察到，資安體質持續進步的企業多是透過以下四種方法變得更健康。首先，持續縮小攻擊表面積，如遵循「權限最小化」原則，降低駭客組織取得權限後能造成的影響；第二、徹底落實網段切割，降低駭客從對外系統即可連線直達AD等核心系統的可能性。其三、企業主管應抱持「究事、不究責」的態度，放手讓團隊嘗試。最後，樂於接受駭客思維，不再以「有利於防禦方」的角度來指揮攻擊方，而是敢於接受模擬真實駭客行動、全盤性的演練，往往能更有效檢視企業資安應變機制、提升團隊迴應速度，達成更好的演練效果。

隨着運算力的提升及AI應用的普及化，更多降低攻擊成本的工具或服務的面世，也將使未來的防禦變得更加困難，與其抱着僥倖心態、忽略資安事件發生的可能性，企業應抱持開放態度，不斷觀察並接受外在變化，更須考量自身特性、規模、需求、資安成熟度，以真實檢測瞭解自身防護能量，規劃合適的資安防禦計劃，對資安投資進行有效配置，全面性強化資安韌性及體質。