課程報導背景: 去年(2024) 第四季中華民國電腦稽核協會 ( CAA )首次舉辦由 ISACA 台灣分會攜手 ISACA 新加坡分會,在台北進行兩天課程,來自四位新加坡講師與四位台灣講師,八位聯手實體中文授課,總共有四場子題的授課內容,這是第二場精簡內容,分享給大家。
上次分享第一場「ISACA 台灣與新加坡分會-資通風險評估 & AI 革命前景與風險」,今日我們分享第二場課程。
第二場課程由 ISACA 新加坡分會麥嘉駿( Mak )和 ISACA 台灣分會黃淙澤( Richard )兩位共同擔任講師。目前 Mak 任職於 ISACA 新加坡分會擔任 CISM 營運經理,他長達 9 年時間專注於數據資料的研發與數據保護的場域經驗。台灣講師黃淙澤 Richard 目前擔任 CAA 中華民國電腦稽核協會及 ISACA 台灣分會秘書長一職,且在資訊與資安產業歷經稽核與管理顧問相關工作,超過二十年的時間。以下是他們授課的精彩內容。
SIEM ( Security Information and Event Management ) 資訊安全事件管理,指的是一種資安解決方案,將網內外所蒐集到的日誌集中起來,進行關聯分析、產出數據報表或是主動發出各式告警作用。Mak 表示 SIEM 工具不僅解決企業人力的問題外,也協助資安人員可以更有效率與利用視覺化辨識出,來自四面八方的數據紀錄資料中的異常,以及即時排除問題的協助。
現場參加課程學員以任職金融產業居多,Mak 以我國金管會去年七月中旬發布「金融業導入零信任架構參考指引」為例,強調目前全球所推動的零信任架構資安防護框架,除了雙因子身分驗證外,我國金管會也區分四段分級指標,分階段導入資安管控措施中,分別為第一級靜態指標提及網路區隔與流量加密,以及第三級以即時指標為主,建議採以安全資訊與事件管理平台( SIEM )收容與整合資源存取相關日誌,將可對攻擊行為樣態即時的偵測、判斷與因應。說明了 SIEM 工具應用在資訊安全的防護面向,同為重要角色之一。
ISACA 資訊安全事件管理 ( SIEM ) 的範圍
具有 CISM, ISO 27001 LA 證照的中華民國電腦稽核協會秘書長黃淙澤 Richard 課程中分享,ISACA 資訊安全事件管理的九大指標,其中一項「事故管理運作、工具和技術 Incident Management Operations, Tools and Technologies」即是探討 SIEM。Richard 進一步解釋「事故Incidents」是意料之外的事件,廣泛來自於各種潛在的來源,例如我們最常見的網路攻擊,也有可能是來自於自然災害造成的損失(例如地震),或是企業內部關鍵人員流失等等,因此他建議大家要將事故管理和回應的焦點放在與資訊安全相關的事件上。
「事故管理」的重要在於當企業加重倚賴資訊IT流程與系統的運作時,突發事件有可能破壞系統的運作造成嚴重的影響與財物損失,甚至企業的聲譽,例如遇到駭客威脅勒索軟體事件、系統漏洞或是法規的要求企業須具備執行事故管理的能力等。因此企業執行「事故管理」有其必要性。後面接續他則分享了,事故管理、度量指標與事件回應計畫的準備。