[專訪] Pamela Warren:打造安全的數位國度需要人人參與

長期負責政府資訊安全防護建議的Palo Alto Networks政府與產業推案總監Pamela Warren,在本刊專訪中分享她過去在各國推動資安防護的心得,為企業與政府提供多項資安政策上的建議。

去年開始,行政院成立了資安處,推動《資安管理法》,總統蔡英文也喊出「資安即國安」的口號。不僅如此,美國更宣佈了一項經費高達190億美元的國家資安行動計畫,英國也宣佈投資19億英鎊推動英國國家網路安全戰略,鄰近台灣的新加坡政府更編列了1.9億新幣推動國家級網路安全戰略。

由此可看出資訊安全防護,不只是企業的事情,更是必須聯合政府一同發展完整的資安政策。而長期負責政府資訊安全防護建議的Palo Alto Networks政府與產業推案總監Pamela Warren,在本刊專訪中分享她過去在各國推動資安防護的心得,為企業與政府提供多項資安政策上的建議。

Palo Alto Networks政府與產業推案總監Pamela Warren

政府也面臨數位轉型的挑戰

Pamela Warren首先陳述許多政府面臨的現況,一是「雲端優先(Cloud First)」的推動,許多資料與資訊系統均往雲端轉移;二是提倡「共享服務(Shared Services)」,如無線網路存取服務;三是「網路統合(Network Consolidation)」,將過往各自獨立、分立的網路進行統整;四是建議可信任的Internet連接點;五則是當局威脅的集中化,過去隨機發散的資安攻擊已逐漸變成長期化、集中化。

如此情況下政府機構的資訊發展便面臨挑戰,例如變動太快、許多人奔忙於解決問題等,導致組織不能專注在重要事務上,或得投入大量心力在資安攻擊防範上,且資訊孤島的情形使防範效率低落;也基於這兩點,使政府組織尋求創新技術來解決資安問題的腳步變慢。上述挑戰的反面即是政府成功數位轉型,包含專注在重要事務上、成功防範網路攻擊,以及快速採行創新科技。

政府機構若想實現成功數位轉型,Warren認為須以兩要素為基礎才能構築,一是自動化,二是網路保健,以此再搭配三要點,包含資安防護的最佳實務、可付諸行動的資訊智慧,以及資安防護專業培育等。

如同俗話所言「工欲善其事、必先利其器」,工具有落伍先進之別,落伍的工具如弓箭、石頭,是難以讓組織機構進步的,相對的自動化即是良善的工具,而先進的工具並不意味著一定要花錢,也有許多免費工具軟體可供搭配運用。先進的工具也意味著群策群力與時俱進,Palo Alto Networks即有加入並參與Cyber Threat Alliance網路威脅聯盟,為產業的資安防範貢獻心力,一同抵禦日益刁鑽的網路威脅。

另外Palo Alto Networks也於2012年參與美國太平洋軍演(軍事演習),演練的情境如某個島國失去通訊聯繫、與外隔絕時當如何因應。類似的演練也有政府發起對資訊進行測試,例如新加坡政府即進行首次的國家級資安防護測試,共有11項關鍵資訊基礎建設受測,包含交通系統、金融系統、醫療系統、教育系統等,一旦系統遭攻擊或癱瘓時當如何應變。對此Warren也強調:若期望組織的資安防護能力能快速成長,實際演練是最佳途徑。

Palo Alto Networks推動人人懂資安的Cyber Range計畫

不過,大規模的攻防演練並非時常有,機會可遇不可求,因此Palo Alto Networks亦提供資安實戰攻防演練(Cyber Range),在全球各地設有體驗教室,如美國東岸的Reston、美國西岸的Santa Clara(矽谷),以及歐洲荷蘭的阿姆斯特丹。Palo Alto Networks體驗教室的期許目標即是「Assess Security Best Practices」,言下之意可以在這裡接觸學習到資安領域的最佳實務。

有關Cyber Range課程Warren進一步說明,課程其實分成Level 1、2兩個層次,前者在於路由器、防火牆、釣魚程式、勒索軟體等,屬於單項且局部的,後者在於更廣、更深的攻擊,屬於更長期、更針對性的威脅。

也由於資安問題日益嚴重,資安專業人員需求大增,身為女性高階主管典範的Warren很鼓勵企業在職女性轉投入資安工作,就她的經驗,許多企業內勤女性因工作需要、好奇等而接觸Cyber Range資安課程,進而學習成長而有成就自信,最後真的轉職到資安領域。

Cyber Range還在持續強化提升中,Warren表示,除上述三個地點外,澳洲的雪梨也在近期開始,Level 2的課程也較為新進,約在七月份開始。

除演習、體驗課外,Warren也談到其他需要實際上手的資安工作坊,如ICS/SCADA(Industrial Control Systems/Supervisory Control And Data Acquisition),此主要著眼在工業控制系統的防護,要考慮的防護層面與過往不同且面向更多,包含導航系統、燃油系統、建築管理系統等,顯見資安邊界範疇的定義改變中,從資安系統擴展延伸到各類型自動化系統。

完善的資安防護其實能增加使用者生產力

回到前述的政府資安挑戰,在攻擊防範上Palo Alto滿足了政府設立的優先性需求,運用威脅智慧分析、智慧性關連、智慧性防範等達到多項防護需求。在網在網路統合的推動上,Palo Alto可以做到端點防護、行動端防護、閘道器防護。在「雲端優先」的推動上也實現了公有雲防護及前述的行動端防護。

另外Palo Alto也支持資料保護推動案,力求國民與員工的關鍵資料都能合乎個資相關法令的規範。此外Palo Alto也運用端點防護、閘道器防護技術保護敏感性資產,如機器人、溫控系統等。

有關行動端防護Warren也舉實例,英國閣員辦公室即採行Palo Alto的防護方案,使辦公室的工作者獲得更佳的網路連線、更廣泛的應用程式選擇、用行動裝置辦公,以及即時協同文件作業等,職員表示資訊設備與環境使用的舒適度如同在家般的便利。而在過去,較高的職場資安防護通常意味著較慢的連線、只能使用限定的應用程式、只能用固定位置的資訊設備辦公、各成員的工作無法即時溝通串連。

最後Warren也推薦一本書,書名「Navigating the Digital Age(暫譯:數位年代的導航)」,這是一本針對董事與企業高層而撰寫的資安指南。書中建議要建立發展3至5年的資安計畫,且建議企業對於變更開發須保有敏捷性,因為企業將面臨新的有心者、敵對者、新的推動方案、新的技術創新等,此呼應一開頭即提及的:「專注在重要事務上、成功防範網路攻擊,以及快速採行創新科技。」

Warren也建議政府單位在資安建置導入外當善用資安委外,委外可立即獲得較新的資安團隊經驗實務、較快的應變程序、較先進創新的防護技術等,使寶貴的組織人力獲得釋放,另也當評估採用人工智慧(AI)、機器學習(ML)等技術來減少資安人員的關注心力。

最後Warren也分享一份調查,顯示資安人力編制吃緊的事實,調查中顯示只有15%的受訪單位認為有足夠的人力進行資安防禦,其餘多表示需要增加人力,由此可知政府機構組織能否安全平穩地行向未來,資安人力配置將是關鍵所在。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416