資安長正重新審視企業的臨時性資安工具與臨時制定的政策,以求透過功能強大的永久性解決方案來取代這些工具與政策,以加速推動遠距辦公。
文/Mary K. Pratt‧譯/酷魯
健康測試與照護服務供應商 Home Access Health Corp. 的IT暨資訊安全長 Pam Nigro 想知道她公司的員工工作時間是否不夠規律,同時她也想知道員工們到底在哪裡工作,因為這種監控是Nigro確保公司資訊安全的策略之一。
Nigro表示,她的資訊安全工具必須了解和分析員工的工作時間與地點,以便他們能夠識別出任何可能嘗試攻擊的異常存取行為。
在未來幾年裡,她的資訊安全計畫必須愈來愈適應每位員工的工作習慣,因為大規模混合式辦公 (Hybrid Work) 的安排仍然將是常態。
[ 下載 2020-21 CIO大調查報告,掌握企業資安部署新趨勢 ]
「我們需要考慮公司資訊安全投資和不斷變化的工作環境,以確保留在盡可能縮小的資安攻擊方向與途徑範圍內。」Nigro 如此表示。
當2020年初新冠肺炎疫情爆發時,Home Access 將大量員工轉移到虛擬工作環境,並實施能讓員工能在家中也能資訊安全存取網路資源,以及該公司網路資源的技術與政策等。與此同時,公司也能繼續支援那些需要待在公司辦公室工作的員工,例如實驗室工作人員等。
對於Nigro來說,這次經歷帶來了新的挑戰,包括教育員工如何保護家中的網際網路連線。這也帶給她得以加速新資訊安全計畫的機會,例如新增分析功能,以了解員工使用模式和基於地理圍欄 (Geofencing) 的管控工具,以封鎖來自美國以外的系統存取要求。
「這些是我們仍在實施和加強的措施,以便我們在持續進行混合式辦公的同時,也能夠擁有更強大的資訊安全。」Nigro表示道,而她同時也是專注IT專業治理的資訊系統稽核管控協會 (Information Systems Audit and Control Association, ISACA) 副董事長。
這些經歷對於資安長這個職位而言,算是相當典型的範例,而成員之中的許多人其實都沒做好大規模遠距辦公的準備。
[ 推薦閱讀: 後疫情世界資安長會面臨什麼挑戰? ]
在《2021年Thales資料威脅報告》(2021 Thales Data Threat Report) 對2600名企業領導者進行的調查中,支持了此一說法。只有 20% 的受訪者表示,他們的資訊安全基礎設施在因應新冠病毒疫情所造成的破壞上已做好充份的準備,包括移轉至遠距辦公等措施。約 82% 的人表示,他們有點或非常擔心遠距勞動力增加所帶來的資訊安全風險和威脅。更有 44% 的受訪者表示,他們對自家的資訊安全系統能否有效保護員工遠距工作缺乏信心。
在疫情剛開始時,以上這些比例可能尚稱足夠。但是,這種原本被認為是暫時的情況現在已經變成近乎永久性的「常態」,因為許多企業組織計畫持續提供包括在公司上班和隨處辦公 (Work-from-Anywhere) 的混合式選項。管理諮詢業麥肯錫 (McKinsey & Co.) 公司對100名企業高階主管進行調查,發現大多數人認為,未來那些不需要在現場工作的員工,將會每周遠距辦公一至四天。
這讓許多資訊安全主管在尋求強化企資訊安全計畫,以滿足這個工作新環境的需求時,紛紛重新制定自己的策略。
數位轉型解決方案供應商UST公司的資安長,同時也是其子公司網路安全服務供應商CyberProof執行長Tony Velleca 指出:「很多資安長都轉過頭把事情搞定了。」
他們正在研究新冠肺炎疫情前的規畫路線,發現這些路線從未考慮到這種新的延伸性混合環境。因此得出結論認為,舊計畫不足以滿足現有和即將到來的資訊安全需求。
他們正在重新審視臨時性的資訊安全工具與制定的臨時政策,以迅速推動遠距辦公得以透過強大的永久性解決方案,來取代這些臨時工具與政策。
「現在,當我們考慮混合式勞動力時,就必須考量更長遠的問題。」商業技術顧問業 West Monroe 公司技術實作資深合夥人,暨數位工作場所與現代系統整合服務全國負責人 Kaumil Dalal 表示:「這其實需要做思維上的轉變。資安長必須在其企業組織內灌輸資訊安全第一的思維,並幫助每個人了解他們在保護企業組織方面所扮演的角色。」
當「夠好」再也「不夠好」
許多企業組織在建立起資訊安全的長期混合式工作環境方面,正面臨重大障礙,通常是缺乏現代化IT基礎設施(如雲端資源)、現代資訊安全工具(如支援人工智慧的異常偵測),甚至缺乏人員編制齊全的資訊安全團隊,與穩固的資料管理政策。
不僅如此,資安長也同時看到了不斷擴大的資訊安全威脅局面。
資訊安全軟體製造商Proofpoint公司所進行的《2021年資安長之聲報告》(Voice of the CISO Report) 發現,有 58% 的受訪資安長表示,自從遠距辦公變得更加普及以來,公司遭受到更多的目標式攻擊 (Targeted Attack)。同時有 56% 的人表示,允許遠端存取公司資訊會對企業管理機密性業務資料的控制和分類能力產生負面影響。更有 58% 的受訪者表示,員工使用個人裝置時,可能會增加企業資料外洩的風險。
因此,該報告得出的結論是,持續的混合式工作環境「對資安長想以過去12個月『夠好』的方法將不再長期奏效的理由,用來說服董事會接受新方法時,勢必形成極大的挑戰。」
[ 推薦閱讀: 找出精通資安的代管服務供應商 ]
不過就算有許多困難,許多資安長仍在採取對應行動。
報告發現,57% 的受訪企業已經加強了新冠病毒疫情初期實施的資訊安全政策;有 65% 的資安長表示,他們相信到了2022年至2023年間,他們將更有能力抵禦網路攻擊,並能從中恢復正常。
IT研究顧問公司 Info-Tech Research Group 資訊安全、隱私、風險與法規遵循實踐研究總監 Cameron Smith 表示:「在過去的一年裡,每個人都重新思考了自己的策略。對於那些在新冠病毒疫情之前就做好充分準備的人來說,這種戰略上的變化幅度要小得多;但對於那些尚未做好準備的人來說,變化幅度就大得多,而且痛苦得多。」
即便如此,幾乎所有資安長在尋求加強混合式環境的資訊安全性時,都將面臨一些挑戰。
當然,每個資訊安全主管都面臨著他自己一系列獨特的問題,這將取決於企業組織現有的資訊安全狀況、產業及編制人員水準等等。
在此同時,資安長們回報了一些共同的問題:
許多人表示,他們必須背負著老舊資訊安全技術所帶來的負擔;因為這些技術已無法滿足長期普及化的遠距辦公、相應的端點激增,以及網路邊界消失等問題與挑戰。專家以VPN虛擬私有網路為例,許多企業組織發現該技術已無法為眾多員工,提供所需的資訊安全性與使用者體驗。
許多資安長更面臨著人員編置方面的挑戰,因為他們試圖讓資訊安全團隊成員遠距作業,然後學習在那種新的分散式環境中管理這些成員。
這表示他們必須為那些在一夜之間變得更具備資訊安全意識的企業員工制定新的政策、程序和培訓計畫。如Nigro就表示,如果家中成員皆為家人而沒有同事,她就必須建議員工務必確保家中電腦螢幕和電話通話時的機密程度。
計畫加速 全力投入資訊安全防護
資安長 一 直致力於應付這些資訊安全挑戰,並將持續這樣做下去。
現在,他們還在為未來規畫路線,計畫投資新資訊安全技術與新流程,以便確保隨處辦公之環境的資訊安全性能更好。這已形成當前的新常態,並將持續發展下去。
資訊安全負責人們則表示,他們正在大力投資支援更新資訊安全技術,像是零信任 (Zero Trust) 模型和「資訊安全存取服務邊緣」(Secure Access Service Edge, SASE) 概念等。
此外,在他們規畫的路線中,也呼籲增加對這些方法所需技術的投資。這些技術包括多因素身分認證、加密、身分與存取管理控制、網路分割、網路微分割 (Micro-Segmentation)、偵測使用者異常行為分析,以及動態存取控制的分析功能。
[ 推薦閱讀: AWS、Google Cloud 與 Azure 資安功能比較 ]
「企業組織正關注從網路控制轉移到端點控制上,」顧問公司 West Monroe Partners 資深架構師暨數位工作場所與技術自動化專案團隊負責人 Frank Lesniak 解釋道。
他強調指出,資安長也在投資傳統的反惡意程式軟體、端點偵測和回應 (Endpoint Detection And Response, EDR) 平台、託管式偵測和回應 (Managed Detection And Response, MDR) 平台,以及資料外洩防護 (Data Loss Prevention, DLP) 軟體。
全球管理顧問公司 Boston Consulting Group 旗下數位化實施顧問團隊 BCG Plantinion 董事總經理 Nadya Bartol 表示,與依賴防火牆等傳統資訊安全防禦技術相比,採用此類支援分層資訊安全的技術時,能夠提供更好的防護。
「人們終於承認,資訊安全防衛邊界不再存在,」她一說完又補充道,大多數企業組織將需要耗用數年時間,來落實開發成熟的零信任計畫所需相關技術。
同時,資安長正在透過「資訊安全調度、自動化與回應」(Security Orchestration, Automation And Response; SOAR) 平台的實施,以及採用機器學習和人工智慧等功能,建立起更具效率和效益的資訊安全營運體制,進而提高其監控和回應能力。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
資安長也在修改資訊安全培訓與意識認知課程計畫,並計畫透過更新這些培訓計畫以因應新時代的到來。在這個新時代裡,員工必須培養出新的資訊安全思維,也就是清楚認識到每個人在打擊網路釣魚和其他惡意行為方面,所能夠充份發揮的作用。
Velleca表示,資安長們正重新思考如何讓自己的部門為未來做好最佳準備,因為隨處辦公可以讓他們可以更全面性地進行招募,這也使得資安長必須爭取所需的資訊安全人才,透過全天候無間斷託管式資訊安全服務供應商 (Managed Security Service Providers, MSSP) 與高度專業化資訊安全公司來補充人員。
Proofpoint調查的結果,顯示下列趨勢:
- 35% 的資安長表示計畫加強核心資訊安全控制。
- 33% 的資安長正投資支援遠距辦公的新解決方案。
- 32% 的資安長正投資培養員工的網路資訊安全意識。
- 32% 的資安長正在整合與簡化資訊安全控制和解決方案。
- 30% 的資安長重視供應商帶來的風險。
此外,該項報告指出,大多數資安長預計他們的預算在未來兩年內將至少增加 11%,以支持他們修改後的規畫路線。
Smith坦承,其實這些技術或策略都不是最新的;但早在新冠病毒疫情爆發之前,資安長們就已開始關注這些技術。
Smith指出,與新冠病毒大流行之前相比,現在資安長策略的最大變化之一就是採用速度:資安長正在加快對所有這些領域的投資,因為他們必須這麼做。
「我看到預算開始被公司提前通過,以推動遠距辦公。」Smith表示。「對許多人來說,新的工作環境,足以真正實現新的無邊界工作模式。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)