去年(2024) 第四季中華民國電腦稽核協會 ( CAA )首次舉辦由 ISACA 台灣分會攜手ISACA 新加坡分會,在台北進行兩天課程,來自四位新加坡講師與四位台灣講師,八位聯手實體中文授課,課程主題為 AI 數位科技和最新的國際標準框架為核心。我們將陸續刊登四場子題的授課精簡內容,分享給大家。
去年(2024)於台北,ISACA 台灣分會與 ISACA 新加坡分會共同舉辦四場雙講師聯合授課的課程,第一場的雙講師分別為超過 30 年國際工作經驗且具備 CISA、CISM、CRISC 風險管理顧問證照的新加坡 ISACA 分會 Raymond 講師擔任與具有 CFE 舞弊稽核師、資料分析與電腦稽核專家,目前任職於兆益數位總經理的莊盛祺 ( David ),兩位啟動首場課程之旅。
新加坡講師 Raymond 以 AI 為主軸議題分享IT資通風險、控制與管理新思維,以及當我們面對新科技之際,如何進行風險的評估、管理與框架的應用。
Raymond 開場告訴我們幾個重要的網路定義,網路世界的所有資料匯集處,可從三大面向識別 :
- 第一層表層網路(Surface Web)指的是可以被搜尋引擎找到的網站或網頁資訊。
- 第二層深層網(Deep Web)是沒有被標準搜尋引擎(如Bing 或Google)編入索引的全球資訊網內容,例如我們的Gmail信件、公開的YouTube影片或是FB帳號等,同時深層網的資料匯集量占比最高達90%。
- 第三層暗網(Dark Web)通常是深網的一部分,其需要特殊工具才能存取,最常見的工具是Tor(洋蔥瀏覽器)。
當我們認識資料匯集所在位置後,Raymond 緊接著提及三點,針對資通風險控制的措施 :
(1) 避免或完全消除
(2) 降低、修復或修正風險控制,例如預防、偵測、回應與恢復
(3) 風險移轉或共擔 (例如保險、雲端)。綜觀而言,風險的管理,不僅包括威脅搜尋外,還必須考慮技術的採用、業務戰略的視角。
威脅態勢 2023 – 2024
根據 Fortinet 、Verizon 所做的 2023 與 2024 年全球網路威脅趨勢報告中,大致歸納五點 :
(1) 信任 (Trust) 被利⽤:威脅攻擊專注於供應鏈的攻擊上與第三⽅服務漏洞
(2) 網路犯罪組織不斷地進化 : 發展出新的攻擊手法「網路犯罪即服務(Cybercrime-as-a-service, CaaS)」
(3) AI ⼯具的崛起:將AI 武器化以進⾏網路攻擊
(4) 現有趨勢持續存在:⾼持續威脅、網路釣⿂等
(5) 企業依舊缺乏基本資安衛生(規範),易被駭客所利⽤