「HiNet風險之眼」 助攻資拓宏宇強化資安防禦

資拓宏宇 資安長張文彬
廣編企劃
2021.11.19

隨著後疫情時代來臨,企業不僅要在混沌中向前邁進,還要抵抗來自四面八方、更加進階的駭客攻擊;面對層出不窮的資安危機,企業如何逐步建構起資訊安全的堡壘?擁有三十年專業資訊系統建置技術與軟體開發實力,並逐年加強投資於資訊安全領域之人員訓練、軟體、硬體設備升級等強化資安作為的資拓宏宇,資安長張文彬以企業自身經驗分享如何運用像「HiNet風險之眼」這類的武器贏得這場戰役。

2021年的資安大會,不少企業尋求可以因應勒索軟體以及APT的資安解決方案,顯現傳統的企業資安防禦明顯不足外,近期在疫情期間,又陸續傳出某上市企業遭駭客入侵,勒索5000萬美元(約14.25億台幣)贖金、美國政府為了因應疫情,緊急提供了薪資保護計畫(Paycheck Protection Program),卻因第三方服務業者平台淪為駭客竊取企業資料的跳板,預計超過700萬筆的企業客戶資料遭到外洩等資安事件,也讓資安成為強化企業韌性不可或缺的重要議題。

由內而外全力強化 將資安意識及防護拉到最高

從創立以來,秉持著成為「專業化、大型化與國際化之資訊通訊服務的標竿公司」的願景使命,資拓宏宇近年致力研發創新產品,以為全球客戶提供深具競爭力的智慧化解決方案與服務。「數位轉型是近來影響各產業最關鍵的議題,卻也可能引發駭客乘隙而入、甚至衍生諸多資安事件,有鑑於此,我們也逐年強化在資訊安全領域的人員訓練及軟硬體設備升級等強化資安的行動,尤其是資拓承接政府、金融機構相當多的案子,對資安層級的要求勢必得以最高標準視之。」資拓宏宇資安長張文彬說。

憑藉著過往在中華電信服務期間所累積出的資安管理經驗,快速複製到資拓宏宇,並靈活運用中華電信的專業資安服務資源,助推資拓宏宇資安再強化,張文彬娓娓分享資拓宏宇作法,除了資訊部門通過 BSI的ISO27001 認證外,為了展現高度重視資安的決心,全公司也挑戰 ISO27001 認證,以確保全員上下都具備資安警覺與防護意識。


資拓宏宇 專業資安團隊

零信任趨勢下 隨時關注資安已為企業必備

在資安治理方面,資拓宏宇也成立資通安全暨資訊服務部,專責推動內部資安管理工作外,並定期對內提供資安教育訓練等,同時也收斂網路出口數量,朝向單一出口發展,並採取雙品牌次世代防火牆(NGFW)部署策略,將不同品牌的 NGFW 分別架設於緊鄰網路邊境的第一、二層,達到縱深防禦效果,再於邊境的最外圍佈建HiNet WAF,藉此提高駭客突穿入侵的難度。而張文彬更是以零信任(Zero Trust)架構框架調整資安管理機制,每一個有意進入內網的同仁,皆須接受雙因子身份驗證,也要求公司所有電腦皆必須安裝防毒、防駭及MDR(託管式偵測及回應)等保護機制,務求將資安做到滴水不漏。

「HiNet風險之眼」不間斷監測 強化供應鏈/第三方資安防護

而他也進一步以防疫作為妙喻,「防疫除了要民眾要有正確意識,戴口罩、打疫苗外,還需要邊境嚴密管理及有明確的獎懲制度,這同樣也適用在企業的資安防護上,企業上下皆要具備資安共識,也得透過主動被動的設備工具防護,提高資安免疫力,更重要的是,在當今零信任的趨勢下,企業更要隨時關注整個資安防護有沒有遭遇到新威脅,特別是隨著市場需求和成長,各個企業皆有供應廠商,千萬別讓供應鏈成爲企業資安最弱的鏈節。」
「HiNet風險之眼」透過非侵入式資訊收集技術,輸入用戶網域即可自動分析其關聯性網路資產與IP足跡,協助企業改善自身或供應鏈資安風險

而針對第三方或是供應商的資安防護及管理,近年來資安市場已有新的產品與服務,像是企業資安風險評等服務(Security Rating Services),以及供應商風險管理工具(IT Vendor Risk Management Tools),強調能從企業的外部做到網路資安風險分析,並且基於大數據分析、威脅情報的持續安全監控,而成為一種新的資安解決方案。以「HiNet風險之眼」為例,便是國際知名品牌SecurityScorecard利用非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合及結合ThreatMarket弱點搜尋引擎,能將所有持續收集的安全風險指標分析,進而幫助企業不間斷地監控網路風險。」張文彬分享。

在應用「HiNet風險之眼」平台時,企業只需將自己的網域名稱輸入平臺,以及加入關係企業或供應商的網域,就可以透過這套系統監控公司本身及其他個別公司的資安風險與漏洞問題,而平台也提供了警告機制,可以寄送每日更新資訊,也能設定當某一類別分數低於指標時就發送電子郵件通知,而資安風險評等,則由0到100的分數方式呈現,並分成A、B、C、D、F級,不單只是提供企業一個資安分數而已,而是提供一個完整的平台,讓企業與所有第三方供應商進行深度的互動並解決企業管理供應商上的問題。

「資安一定得靠紀律來維繫,任何人不管工作再忙再累再重也都必須恪遵紀律。」張文彬語重心長地強調,「落實資安,絕不能閉門造車,而是要跟國際標準接軌,才可以讓公司由內到外,甚至是合作夥伴皆具有共同語言,一起向前進。」



【更多資訊】
了解更多:HiNet風險之眼
企業客戶服務專線 02-2344-4639(分機:#3004、#3005、#3006)