客製化時代不僅考驗供應鏈彈性,也促使企業 要同步升級IT(Information Technology)與OT(Operation Technology)來滿足客戶需求!然而,升級的同時也需考量資安策略是否跟上,許多企業在添購了大量的資安防護工具後,還是屢屢破防,主要原因常常在於員工資安意識不足!精誠集團子公司智慧資安科技(uniXecure),協助客戶透過社交工程演練模式提升員工對釣魚網站與釣魚信件的警覺性,透過日常的演練,協助企業確保核心資訊安全,也連帶降低上游供應商與下游客戶資料外洩風險,為工控安全再加一把防盜鎖!
客戶背景與需求
高爾夫球製造商 A 公司為全台唯一具有五層雙核心結構生產技術的高爾夫球製造商,為滿足次世代客戶的需求,期在導入綠能科技的同時兼顧資通安全。然而,資訊系統的導入也意味著需要監測的資安範圍更加擴大,除了基本的網路安全防護之外,也要防堵內部同仁因誤觸釣魚信件而造成資安事件,因此需制定符合企業樣態的社交工程演練計畫,這也需要專業資安顧問與技術團隊配合才能雙管齊下,並為企業「客製化」規劃適合自身需求的全方位演練方案。
解決方案
根據「零信任」架構 —— 任何系統在上線前都需進行弱點掃描與相關檢測,並修補中高風險漏洞後才能上線,因此高爾夫球製造商 A 公司要求智慧資安科技協助在其「生產排程系統」安裝上雲前,需進行一系列檢測並交付相關報告,同時也協助客戶實行社交演練工程演練,以提升員工對資安意識與警覺性,預防因員工一個輕忽的行為而引發重大的資安危機,造成無法彌補的後果。
第一步:網站弱點掃描、導入 MOC 之日誌蒐集系統
在系統上線前先進行弱點掃描、滲透測試、進行威脅偵測,並透過模擬駭客攻擊行為,找出辨識系統中有缺失的漏洞,同時協助客戶建置防火牆日誌的蒐集,其中包含
Linux、Jboss、IBM AIX 及 Windows 等系統平台、骨幹交換器、防火牆及頻寬整合器的紀錄,且依據時間、事件關鍵字等參數,產出日、週、月、季與年等報表,方便管理者釐清資安維運現況與風險,不僅方便追溯軌跡,也符合資安法規的半年跡證保存要求。
第二步: HEIS 資安意識人因分析系統—社交工程演練
本次演練以釣魚郵件進行測試,HEIS 內建 60 多種釣魚郵件範本與彈性寄送規則,能提供符合客戶樣態的客製化釣魚郵件,並於演練結束後提供演練分析報告, 不僅方便資安專責人員與高階主管了解哪些員工需加強資安教育訓練,也符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」的規定。
HEIS 還能藉由互動式動態數據模板提供即時專案進度及警示訊息,使資安專責主管在短時間內,即時掌握單位員工的資安意識程度以及風險分佈,後續搭配智慧資安科技的資安教育訓練課程,大幅降低人因資安風險。
創造價值
智慧資安科技擁有豐富的資安工具導入經驗,本次針對客戶痛點,快速協助高爾夫球製造商 A公司客製化導入資安防護落地計畫,比起單純銷售資安維運工具的資安供應商,智慧資安是結合「實戰力」與「科技力」的專業資安顧問團隊,不僅從管理面、技術面為客戶規劃防禦思維與架構,也從訓練面評估「人因」資安風險,在滿足監管單位要求企業需達到的基本人員資安意識門檻之外,進一步協助客戶降低被駭風險,確保營運不中斷。