伴随着全球基础网络服务日益普及，黑客组织发动的攻击也比过去更为猛烈，根据IBM X-Force 威胁情报季度报告指出，现今企业面临资安挑战远比过去更巨大，不仅有来自于外部的各种攻击事件，公司内部也因有严重资料外泄事件，让资安人员疲于处理各种资安威胁，造成企业营运上的沉重负担。

        根据IBM台湾资安技术协理谢明君长期观察发现，融合多层次攻击手法的资安威胁事件正逐渐增加中。一般而言，企业会从资安设备中察觉新手黑客发动的攻击事件，当资安人员误以为资安威胁已清除时，其实早有其他黑客组织利用同样的漏洞入侵，并且悄悄潜伏工内部网络之中。一旦资安人员缺乏进行深层事故调查与根本原因分析的概念，将难以发现潜藏于企业内部之中的恶意软件，根据资安报告指出恶意软件平均可在企业内部潜伏长达1年以上，成为数据外泄事件不断发生的主因。

        在黑客组织发起的攻击之外，恶意员工亦是造成资安事件不断发生的主因。IBM台湾资安技术协理谢明君发现部分有拥有系统管理员权限的员工，或者有意窃取商业机密的同仁，可能会透过安装后门程序的方式，以远程联机方式躲过资安设备检查，藉此存取公司内部机密数据，进而造成企业极大的经济损失。IBM认为要降低资安威胁事件带来的冲击，必需要从六大面向着手，才能强化整体资安防御体制，保护得来不易的研发成果。

六大面向着手 强化整体资安防御体制

        首先，企业应该要回归资安基本面，信息人员需定期安装修补程序，因为从现今全球各地发生的许多攻击事件来看，多半都是没有修补信息系统存在各种漏洞，才让黑客组织有可乘之机，并且造成许多严重个资外泄事件。因此，IBM台湾资安技术协理谢明君建议企业应该要落实前述资安基本工作，并且建置一套弱点管理系统，逐步强化自身资安体质，降低黑客入侵的发生机率。
  
         第二个重点，企业应进行完整的事件搜集，建立内部SOC平台，才能精准掌握机密资料的存取状况。信息人员若没有进行日志搜集并做关连性分析时，势必无法发现前述躲藏在公司内部中的各种恶意软件，导致斥资购买的各种资安设备，无法发挥预期中的效益，让公司陷入不断重复的资安威胁之中。部分企业会购买可提供资安监控与事件响应机制的服务，只是此类服务多半仅能定期提供报表，显示公司内部中的前10大攻击来源、事件类型或流量等信息，但若资安人员未能据此进一步进行深层调查，将依然无法发现前述多层次的进阶攻击事件，也会导致宝贵资安预算白白浪费。

         IBM台湾资安技术协理谢明君认为第三面向，则是应该要强化使用者资安意识训练，减少客户端因为人为疏忽造成的资安事件。一般而言，政府单位或金融、医疗业等，因受到主管机关要求，较常进行社交工程演练，用户资安意识较高，自然较少发生资安事件。相较之下，制造业通常较少进行教育训练，黑客组织只需要透过钓鱼邮件，即可轻松攻破资安防护往。从调查结果发现，资安专家均认为培养使用者良好资安意识，是对付资安威胁好投资，所以企业在添购资安设备之余，也该规划定期规划资安教育课程，才可减少必不要的人为疏忽。

         至于第四件重要工作，即是做好特权账号管理。特权账号是信息系统中权限最高的账号，能存取企业内部的各种重要商业机密，但即使是资安规范严格的大型企业，也多半未确实做好职权区分(Separation of duty)，或特权账号的管理不够扎实，常见到多人共享同一组系统管理者账号密码，若有一人离职可能就会造成安全缺口。此种状况，在中小型制造业中更为明显，多数信息人员为了工作上的方便，往往会给维护厂商人员最高系统权限，所以黑客组织只要攻破合作伙伴的防御机制，便能绕过企业的资安防护网，顺利且取各种机密数据。另一个常见问题，便是资安人员没有做好账号的生命周期管理，以致于离职员工还能够利用旧帐号登入系统，IBM认为唯有人事管理系统需能与其他系统连动，才能避免上述状况发生。

        在勒索软件大行其道的年代，许多企业的备份工作因不够完善，或即使有做备份，却没有进行复原测试，以致于面对前述事件时，只能被迫支付赎金，避免系统被毁于一旦。为此，建立一套完善备份复原机制绝对有其必要性，有助于减少勒索软件带来的冲击，保护商业机密的安全。

        至于最后一点，则是进行事件稽核记录，找出异常联机行为。多数资安设备均会提供日志管理功能，信息人员若能够善用日志管理或资安事件管理系统，针对不同事件稽核记录进行分析，或者与专业服务厂商合作，由资安顾问协助日志的判读，即可尽早早发现可疑行为，降低企业营运的资安风险。
IBM资安产品线齐全 实时抵抗黑客攻击

        企业无法阻挡黑客攻击，主要是缺乏系统性的资安架构，多数资安人员均是在出现某种资安需求时，仅就该问题规划相对应的资安架构，很容易造成投资的浪费。 IBM台湾资安技术协理谢明君建议企业应以关键资产为核心，先从了解公司最需要保护的系统着手，再藉此拟出资安投资的优先级，自然可以达到优化工作流程与保护商业机密的目标。以时下企业关注的BYOD趋势为例，企业若没有一套全面性的资安策略，每当有新装置要进入内网时，便得就重新提出管理办法，导致员工在使用行动设备或面临许多管制，反而失开放BYOD的目的便利性。

       IBM台湾资安技术协理谢明君认为企业有一套完整且清楚的资安架构时，便能够因应资安趋势变化，快速调整资安设备部署方式，利用有限预算抵御内外攻击。而为协助企业对抗各种资安威胁，IBM早建构一套完整资安产品线，让资安人员能够依照企业营运需求，逐步添购所需的资安设备，保护多年来辛苦累积的研发成果。
    IBM资安架构图是以IBM QRadar智能信息安全解决方案(Security Intelligence Platform)为核心，该平台是结合日志分析、漏洞管理与扫瞄、数据外泄鉴识的 SIEM (Security Information and Event Management)管理平台，可作为小型至大型企业组织安全营运中心内的核心解决方案，透过收集、正规化可用网络数据，与网络数据彼此的关联性，进而产生各种有用的安全性情报。

       该平台能收集来自防火墙、虚拟私有网络、入侵检测系统、入侵防护系统等发生的安全性事件，以及身分识别和存取管理产品及漏洞扫描仪的内容数据、应用程序的各种日志，并且使用企业预先设定好的客制化规则，将些数据整并成为可管理的攻击事件清单，作为资安人员对抗黑客攻击的参考。

        IBM台湾资安技术协理谢明君更进一步说明，网页服务成为市场主流的状况下，早已被黑客组织列为首要攻击目标，特别是多数应用系统存在不少弱点，以致黑客无须花费太多功夫，即可取得各种机敏信息或客户数据，进而危及整个企业的安全。而IBM AppScan网页应用程序弱点扫描软件可协助资安团队，测试、稽核开发中或已上线的Web应用系统，检查是否隐含最新资安威胁，如OWASP Top10、Adobe Flash、JavaScript及AJAX等漏洞，并且能依照企业营运需求，设定全面的应用程序扫描范围来找出弱点，再依照详细结果以简化补救措施。特别是该软件提供超过40种立即可用的法规遵循报表，满足因应PCI、GLBA、及HIPPA等法规要求，大幅降低手动测试可能产生的测试盲点弱点。

        此外，在行动装置时代来临之际，IBM 也有专为企业设计的MaaS360行动管理平台，该平台具备跨平台管理、保护行动设备的功能，如行动设备管理、行动应用程序管理、应用安全、安全邮件服务、安全应用程序市集，安全档案共享等。由于IBM MaaS360是一项属于SaaS的云端服务，企业用户无须在公司内部架设服务器，即可迅速取得保护行动装置、商业机密安全的公有云服务，能满足不同型态的企业需求。

        为有效掌握全球资安趋势变化，IBM 亦有汇集多位资安专家而成的X-Force研发团队，可随时监控最新威胁趋势变化，包括漏洞、泄漏、主动攻击、病毒和其他恶意软件、垃圾邮件、网络钓鱼及恶意的网页内容，并且会主动分析动态网络威胁数据，同时透过与IBM资安设备相互串连的方式，协助企业用户快速查看威胁、获取深入分析和脉络环境、设定安全事件的优先级，预防或最小化资安威胁。因此为了大幅增加资安联防的效益，IBM同时也推出X-Force Exchange为云端型资安威胁情报分享平台，提供使用者快速研究最新的全球资安威胁、汇整可靠情报，让企业享有更完善的保护机制。