3min. read

當發生網路攻擊事件時,公司的董事會自然會冀望從您的身上得到解決方法和見解。雖然這是個獨立自主的職務, 但不代表您必須獨自承擔一切。事實上,若您可以證明您的計劃和行動是由業界最佳實務所支持並遵循所有適用的 準則和需求,對方就會知道這是一個群策群力的任務。更棒的是若能透過第三方專家來驗證您的成果,就可以向相 關各方保證您確實能夠面面俱到,並且能夠善盡職責來保護企業。

一旦董事會了解您的網路風險暴露和網路風險緩解之後,他們可能就會開始詢問,「我們已完成了哪些網路安全盡 職調查和保證?

應思考的隱含問題:

  • 我們對於完成的工作是否已執行任何獨立驗證?
  • 這些驗證是由誰來進行?驗證的性質和範圍又是如何 (例如,威脅捕捉、入侵評估等等)?
  • 如果我們是在內部進行驗證,要如何確保我們的方法確實可行?

網路安全盡職調查:如何確定我們的方法是否正確?

此處的關鍵點在於向董事會和其他相關各方保證之前所完成的分析皆具備客觀性。此分析不僅應保證弱點或攻擊已 獲得緩解,還必須確保營運環境不會遭到外部所發起的後續行動所入侵。

對於經常利用開放原始碼軟體且據點遍及世界各地的企業來說,其所遭受的法規審查已越來越嚴格 (例如 CCPA、GDPR 等等)。針對這些企業,我們建議可藉由客觀的見解來確認風險是否已獲得緩解,且其環境之後也 不會持續遭到攻擊。

企業可以利用一些工具和服務 (例如入侵模擬平台、獨立專家) 來複製這些入侵行動,並藉此驗證他們的營運環境 不會遭到某些特定攻擊。您可以利用這些工具來示範如何進行盡職調查,並且提出「營運狀況良好」的證明,以藉 此向董事會提供額外的保證。

管理風險評估數據:待分析的大量資訊

只要能透過可靠的數據來源和見解找出答案,就能證明您的方法確實可行。不過這肯定會是一項非常關鍵卻又艱鉅 的任務。我們可以先藉由入侵評估的例子來思考。您如何證明在企業中實施入侵評估的範圍是否正確無誤?您可能 需要說明排定資產優先順序的方法,其中包括以特定關鍵性層級、健全的業務影響分析和數據分類機制等各項因素 為根據 — 您很有可能會因此落入無止境的深淵。

關鍵在於您對於遵循的決策階層應有清楚的連結,讓您能夠充分展現盡職調查並證明為何您會選擇特定的安全規劃 路徑。舉例來說,您將需要說明為何您會透過某些方式來劃分任務範圍以及具體完成哪些工作。

請繼續參閱本系列的第四部分,其中將針對「我們該如何回覆與法規或其他合規性有關的詢問」等問題的答案進行 探討。

請觀看這部影片以深入了解如何與您的董事會討論網路安全盡職調查相關議題:

取得聯繫

若您需要事件回應服務,請記得透過您的網路保險公司向 Unit 42 進行洽詢。

若您認為自己可能已遭到 Log4j 弱點或任何其他類型的重大攻擊,請 與 Unit 42 聯繫以洽詢相關團隊成 員。Unit 42 事件回應團隊提供全年無休的服務。您也可以申請主動式評估來採取預防性的步驟。