我见我思－企业提升资安体质 四招不可少

过去几年间，台湾大型企业的资安投资力道呈显著成长，根据 iThome 统计数据，企业平均资安预算从2017年的435万元，到2023年已大幅提升至约1,408万元；2022年的资安预算715万元与实际支出1,193万元，更有高达近480万元的差距。而 DEVCORE 统计数据却显示，有87％企业在演练过程中外部系统可被成功控制，其中近半数演练曾发现企业机敏资料遭员工不慎上传至Google Drive、GitHub等平台，更有71％企业第三方系统存在高风险弱点。因此，无论是线上学习系统、ERP企业资源规划系统、甚至是办公室内的实体印表机，都可能成为攻击方的攻击破口或潜在据点。可见得尽管企业资安投入大幅提升，但面对瞬息万变的攻击技巧，防护能量仍需因应最新威胁不断强化。

做好资安如同防疫，只透过 N95口罩、防护衣阻隔病毒侵入是一时之举，回头检视自身配置并提升整体免疫力和防御力才是长久之计。同样地，企业在思考资安时，添置必要的软硬体设备做好基础防护固然重要，但透过定期演练、制定防御应变流程、持续评估资安部署的优先顺序及有效性，借此全面性地提升资安体质，方为长久应对之道。

我们从红队演练经验中观察到，资安体质持续进步的企业多是透过以下四种方法变得更健康。首先，持续缩小攻击表面积，如遵循「权限最小化」原则，降低骇客组织取得权限后能造成的影响；第二、彻底落实网段切割，降低骇客从对外系统即可连线直达AD等核心系统的可能性。其三、企业主管应抱持「究事、不究责」的态度，放手让团队尝试。最后，乐于接受骇客思维，不再以「有利于防御方」的角度来指挥攻击方，而是敢于接受模拟真实骇客行动、全盘性的演练，往往能更有效检视企业资安应变机制、提升团队回应速度，达成更好的演练效果。

随着运算力的提升及AI应用的普及化，更多降低攻击成本的工具或服务的面世，也将使未来的防御变得更加困难，与其抱着侥幸心态、忽略资安事件发生的可能性，企业应抱持开放态度，不断观察并接受外在变化，更须考量自身特性、规模、需求、资安成熟度，以真实检测了解自身防护能量，规划合适的资安防御计划，对资安投资进行有效配置，全面性强化资安韧性及体质。