安全创业公司戴夫寇尔(DEVCORE)近日受邀参与台湾微软和科技报橘举办的“企业安全年度检验攻略”线上论坛,会中除了分享评估风险优先次序、查看企业安全体质等议题外,也提到企业在培育安全人才时可将“风险识别”作为第一步,不间断地学习新手法。
全球网络攻击量持续攀升,而AI、Deepfake、元宇宙等技术或新概念的问世,造就更多难以防范的攻击手法。戴夫寇尔观察,AI正成为安全战场最新武器,除此之外,对黑客而言,利用弱密码、不良安全习惯、cookie设置等人性弱点所进行的攻击和访问权控制,远比寻找零时差漏洞(Zero-day exploit)更省时且省力,这也使得“身份验证”成为安全配置上的一大威胁。
对此,戴夫寇尔首席执行官翁浩正认为,企业除了遵循安全法规以外,正确评估并识别风险的优先次序,更是安全防护的重中之重,企业应定期通过红队演练、渗透测试等具备“黑客思维”的方式进行防御重点评估,降低攻守两方的资讯不对称,优先保护高价值资产、找出可被攻击者立即利用的漏洞,确保对风险评估具有足够的真实性。
翁浩正说明,做到法遵并不代表可高枕无虞,需要真实性要够高的风险评估,对企业才有帮助;企业需理解真正的风险是什么、在什么资产上发生、发生的可能性及冲击等,并以“攻击者的视角”来制定安排优先次序。
另外,随着攻击形态不断更新,企业制定安全管理架构时,已逐渐从以往规则导向(Rule-Based)转变为机器学习导向(Machine Learning-Based) 的策略,许多企业已开始通过机器学习的技术,判断攻击行为并协助企业分析出可能发生的攻击,降低以往企业内部人员在思考防御手段上的不周全和局限性。
对此,翁浩正提醒,攻击手段会持续推陈出新、也可能会避免使用已被侦测过、重复的手法来进行攻击。在标准技术研究所(NIST)资通安全框架的五大面向—识别、防护、侦测、回应、恢复中,AI或许可以做到识别、防御和侦测,但在“回应”及“恢复”的能力上,企业仍需要通过理解攻击方的思维,定期演练防守方的应变能力,才能确实评估安全防护的效益、全面提升安全体质。
最后,面对安全人才缺口的议题,翁浩正建议,安全人才的培育也是企业的重要课题之一,安全人员可将“风险识别”作为第一步,不间断地学习新手法、培养更完整的技能树,更重要的是训练攻击方的思维,进而协助企业做好应对风险的准备。
(首图来源:戴夫寇尔)