從2020十大資安趨勢與網路安全架構(Cybersecurity Framework)的應用

近年來流行的網路安全架構以識別、防護、偵測、恢復、還原，常被政府或企業用來建置資訊安全的框架，主要在於其實用性，IS027001標準而言，Cybersecurity Framework可作為實務應用；第一階段的"識別"再資訊安全建置環節中是非常重要的過程，您必須識別出組織的資訊資產，並分類分級，知道哪些資產對於組織的營運是重要的，識別出組織在營運必須面對哪些風險，識別出組織內部與外部的利害關係方，對營運的影響有哪些。

對於組織而言資訊安全，與其事後修補不如事前防範，所以前三個階段，識別、防護與偵測是至關重要的階段，唯有前期完善的規劃，盡量降低風險，在事件發生不致產生嚴重的損失，在下列十大資安趨勢中，分別對應到識別的類型，提前因應風險。

【2020十大資安趨勢1：資料外洩】
管理不周導致資料外流事件頻傳，企業、雲端業者、政府均應強化管理
ID.AM：識別組織的資訊資產，安全等級，辨識出什麼資料外洩後有嚴重影響

2019年的資料外洩事件，有不少是發生在外部廠商，或者是已經下線的系統，徹底盤點和控管，成為企業資安需要加強的面向

【資安趨勢2：勒索軟體】
IT服務供應商成勒索軟體新目標，針對委外業者攻擊，間接影響企業
ID.BE：組織的使命，目標，利益相關者和活動並確定其優先級，什麼資料或服務無法運用會產生嚴重影響

愈來愈多的勒索軟體攻擊行動，鎖定管理服務供應商或第三方服務供應商，因為只要發動一次攻擊，就能要脅到許多受害者

【資安趨勢3：OT安全】
工控環境正面臨真實發生的資安威脅，勒索軟體來勢洶洶

ID.BE：組織應了解組織運營（包括任務，職能，形像或聲譽），組織資產和個人面臨的網絡安全風險，辨識出什麼關鍵營運設施被攻擊會產生嚴重影響

在智慧製造與智慧醫療發展下，工控系統同樣面臨現有的網路威脅，資安問題已是不容迴避的挑戰，而近年勒索軟體盯上工業控制系統的態勢可要當心。

【資安趨勢4：身分安全】
AI冒用身分的攻擊現身，對於新興辨識技術的採用更顯迫切
ID.SC：哪些關鍵人員及哪些關鍵流程被利用會產生嚴重影響

Deepfake詐騙技術發展日趨成熟，合成與模擬影像畫面與聲音的門檻將降低，不只是對輿論的威脅，也讓新的身分冒用攻擊可能性大增

【資安趨勢5：物聯網安全】
連網裝置資安標準開始成形，企業應重視網路分析、偵測與反應

ID.AM：組織有哪些iOT，組織是否可偵測異常行為

臺灣推動物聯網資安標準一年多來，目前有8家實驗室獲得認可，針對視訊監視器、無線路由器，以及智慧運輸等方面，也有專門的檢測單位

【資安趨勢6：供應鏈安全】
攻擊型態趨於多元，供應鏈防護需涵蓋VPN網路與外部服務
ID.SC：可根據上下游來區分，以上游來看，駭客能針對DNS、PKI、雲端服務供應商、VPN服務供應商、網路服務供應商，以及合作夥伴

供應鏈攻擊事件趨於多元，資安業界開始將表單劫持，以及網站誤用被嵌入側錄付款資訊惡意程式的網路服務，認定為供應鏈攻擊

【資安趨勢7：法規遵循】
資安法適用範圍擴及關鍵基礎設施，個資法為了因應GDPR將修法
ID.GV：組織必須遵行的法令法規，以組織營運範圍思考

行政院資安處將在2020年初，完成資安法針對八大關鍵基礎設施的指定流程，包括電信業者即將完成競標的5G，也會是資安法列管對象

【資安趨勢8：資安標準】
資安產品驗證蔚為風潮，隱私保護有賴ISO 27701整合ISMS
ID.GV：組織營運需導入哪些標準，參考趨勢7

企業要怎麼在流程中落實隱私保護，臺灣BSI建議參考ISO 27001以及ISO 29100，而 BS 10012則規範了符合GDPR的個資蒐集、處理和利用原則

【資安趨勢9：5G資安】
NCC要求所有電信業者，5G資安要做到Security By Design

ID.GV：電信業者須遵行的法令法規與標準

國家通訊傳播委員會委員孫雅麗表示，5G網路將成為國家重要的關鍵基礎設施，要求所有電信業者，在打造5G網路的同時，就必須納入資安管理的概念

【資安趨勢10：資安人才】
培育學校生根有成，資安人才與產業接軌是關鍵
ID.BE：組織需要哪些資安人才或資安服務

儘管臺灣目前學校資安人才培育有成，該如何讓人才順利和產業接軌，並透過政府仍在規畫中的資安研訓院，持續提高人才培訓能量，才是生生不息的關鍵

【2020十大資安趨勢】引述於IThome

Cybersecurity Framework