我見我思－三步驟 提升企業資安韌性

企業唯有提升資安韌性，方能應對無所不在、潛藏的資安攻擊。圖／freepik

全球產業邁向智慧化的現在，資安不再只是一種選擇，更是一項必要投資。隨着人工智慧（AI）應用加速落地，更多以AI技術爲基礎的攻擊方法亦紛紛浮現，包含利用生成式AI輔助自動撰寫釣魚信件、協助撰寫惡意程式等。因此，儘管衆多企業已將資安列爲優先推動項目，仍有許多企業主在資安資源部署上感到充滿挑戰，管理思維亦有待改變。

截至2023年7月，全球已指派超過20萬個CVE漏洞編號，漏洞數量持續快速地增加。同時，即使是低風險漏洞，也可能經由經驗豐富的駭客提升成高風險漏洞，使企業防不勝防，對企業可能造成的損失更難以評估。雖然每種資安產品有其優勢之處，企業須注意不宜過度仰賴資安產品，而忽略了及時修補漏洞的重要性。因此，企業現今在資安防護上，除了需避免被駭客找到入侵途徑外，也需要思考是否有「遺漏的風險」，或更進一步思考到建立「迴應機制」。

筆者認爲，企業深化資安防護可從三步驟着手，第一步便在於縮小攻擊表面，透過多樣化的攻擊型產品跟服務，掌握自身潛藏的漏洞，降低被入侵的機率。

第二，藉資安產品打造強大防護牆的同時，更重要的是「內部網路」的安全性，存於內部網路的資產不意味着安全，企業若能由零信任（Zero Trust）原則出發，更全面性地考量各內部資產的關鍵性，並以最需被保護的核心繫統爲基礎訂定防禦策略，將能比過往單點式的防護策略更爲有效。第三，屏棄過往僥倖心態，正視資安風險及資安事件發生的可能性，加強迴應事件能力及相關機制的訂定，提高資安韌性。

如同企業持續尋求創新和成長，駭客和潛藏威脅亦不斷演進。如今「做資安」在數位時代已是一項必要投資，企業更應投入心思的則是如何再進一步將資安「做好」。數據顯示，未來六年內，攻擊型產品市場每年將成長11％ 以上，更有朝主動、廣泛及高頻率方向發展的趨勢，而攻擊型產品千變萬化、市場更隨着產品的演變與日俱增，企業應根據自身的安全成熟度，挑選適合、符合需求的檢測方式，以此檢驗自身防護能量是否足夠。

企業除了掌握內部資產及外部威脅情資、儘可能緩解漏洞傷害性外，迴應機制也要有所提升，以彌補漏洞無法及時修補的不足。唯有提升企業的資安韌性一途，方能應對無所不在、潛藏的資安攻擊。