企業內部是否存在雲端安全問題？資安長該如何因應資安挑戰？

隨著企業的雲端服務使用率提高，公司在享受雲端提供的便利時也須考量現實層面的雲安全問題，其中，資安長在維護企業資安時扮演重要角色。在網路攻擊猖獗的時代下，外部攻擊確實讓企業備受挑戰，然而，企業內部的漏洞也可能加劇雲端安全疑慮，讓公司面臨腹背受敵的局面。對此，資安長該如何增加企業的資安防護力呢？讓本文帶您一探究竟！

資安長在企業中扮演什麼角色？

資安長顧名思義是為企業制定資安相關計畫的人，並針對公司的資訊安全、身分識別與存取管理、安全架構等項目進行評估。而作為企業的資安長需要擁有扎實的技術能力，還須了解以安全為中心的相關技術發展，像是 DNS、VPN、防火牆等等。此外，由於資安長的工作涵蓋大範圍的管理並需要和公司領導層進行交涉，因此除了考驗 IT 專業能力外更注重其應變能力以及商業思維的運用。

根據 FOUNDRY 2022 安全優先白皮書指出，82% 的大型企業和 50% 的中小企業已經設立資安長，而那些沒有設立資安長的公司則更有可能面臨員工安全培訓不足和安全策略不夠積極的狀況，由此可知，資安長在企業中逐漸扮演著更重要的角色。整體而言，資安長是企業資安的把關者，更進一步影響公司內部的安全環境。

企業內部隱藏哪些雲端安全問題？

企業未修補的雲端漏洞讓攻擊者有機可乘

根據 Orca Security 的報告指出，在所有調查公司中有 10% 的公司使用的是至少存在 10 年漏洞的軟體，從而為攻擊者提供了存取公司關鍵資訊的簡便途徑。此外，透過 2022 IBM 和 X-Force 的雲端威脅報告可得知，雲端漏洞數量在過去六年中成長了六倍，而企業面臨的駭客威脅中更有 26% 是由企業未修補的雲端漏洞造成的，由此可知有心人士多能利用這些已知漏洞作為攻擊企業的切入點。

雲端錯誤配置使企業自創資安破口

從 OWASP 發布的十大網站安全風險中可得知， 2021 年安全配置錯誤是排名第五的網站安全風險，其中，由於系統管理員未更改預設雲端配置而暴露敏感資訊是最常見的原因之一。近年來，攻擊者一直在尋找企業內配置錯誤的雲端資產，進而透過這些資產來獲取攻擊目標的財務資訊、密碼、電話號碼和其他易受攻擊的個人資訊，也使得雲端錯誤配置問題成為企業自創資安破口的危機。

離職潮升溫加劇企業資料外洩風險

隨著疫情及後疫情時代發展，經歷過重大轉折的現代人對工作的要求也更甚以往。當員工開始思考企業與個人價值是否一致，以及在遠距辦公下是否能突破地域限制來選擇工作，種種原因都導致了離職潮的盛行。而在內部人員快速流動之下，企業的資料外洩風險也油然而生。根據 Tessian 的調查指出，71% 的 IT 主管認為辭職員工會造成企業的資安風險，並有 44% 的員工表示他們會將前公司的資訊與新雇主分享，也顯示離職潮確實導致企業的資料外洩風險高漲。

資安長該如何因應資安挑戰？

面對日積月累的資安挑戰，資安長應該如何部署防範機制以提高企業的資安韌性？以下整理出三點關鍵的應對措施。

一、部署身分存取控制

當企業部署完善的身分驗證機制便可防止未經授權者恣意存取公司資訊，如此一來不只能防範離職員工繼續掌握內部訊息，還能確保外部攻擊者即使掌握了員工帳密依然要面對後續的重重關卡，大幅增加了攻擊者需要採取的步驟。

二、加強郵件資料防護

目前而言，企業間習慣透過電子郵件進行交流，也代表關鍵的商業資訊時常流轉於電子郵件當中。對此，資安長應該重視郵件中機敏數據的保護，善用加密檔案以及掃毒偵測等功能來確保郵件中的資料安全。

三、升級安全的軟體服務

為了防止雲端漏洞持續成為犯罪組織的攻擊管道，企業資安長應該適時淘汰未能及時針對漏洞進行修復的雲端服務提供商，進而有效抑止資安破口持續擴大。此外，升級安全的軟體服務是一個更直覺性的作法，當企業意識到資安受到威脅時便可考慮導入專業的雲端資安解決方案。

HENNGE One 是一種雲端資安解決方案，為企業提供存取控制、郵件備份、郵件資料外洩防護、大檔案傳輸的優質服務。