新世代人類生活在龐大網際網路交錯的互聯網之下,除了享受訊息共享、交換的快速與便利,也在無形之間將重要資訊暴露在風險中。回顧近年重大資安事件,2020年鴻海傳出遭勒索軟體攻擊;2021年9月台灣非營利組織界更發生大量捐款資料外流事件,資安的評估、檢測與管理正是企業在網路時代下的剛需。
創業小聚第130場活動邀請資安評估平台新創Cymetrics的資安負責人周彥儒,介紹其服務如何幫助客戶提高對網絡暴露的可見性,交流來賓邀請到關注資安新創的紅樓資本共同創辦人楊曜陽,為資訊安全議題帶來深度剖析。
台灣資安人才有缺口,Cymetrics將滲透測試分級變簡單,降低門檻
周彥儒表示,在資安檢查的頻率上,過往企業的資安評估約半年才會進行一次總檢查,但是在這半年期間的空窗期有如大開的大門,除了較密切檢測的的大企業之外,這樣的漏洞是難以預防的。
而在資安資源上,依據Cymetrics的調查資料發現,在台灣只有3%的企業了解自身資安風險,且能找到正確的解決方案幫助其資安管理(you know),完全不清楚公司資安風險(you don’t know what you don’t know)的比例則高達74%。
會造成中間高度落差的原因在於台灣資安人才的匱乏,僅具備資源的大企業有能力建立專業資安團隊,中小企業常常連重要資安資訊都接收不到。
在上述兩者極端間,還有23%的企業,為知道自己的資安風險,但不清楚如何尋找資源做好資安管理(you know you don’t know),這些團隊正是Cymetrics的主要TA,因為至少了解公司內部的資安問題,才能向外尋求協助,讓Cymetrics登場。
透過Cymetrics的SaaS資訊安全評估平台,將檢測資安最有效的滲透測試分為三階段:第一階段先將傳統全人工的滲透測試外圍的檢測全自動化,企業只要提供IP或email,Cymetrics就可以在遠端監控,並做出評等報告,讓企業了解自身在產業中的資安風險等級。
周彥儒說,企業初步了解問題後,就有動機往下深掘做更完整的資安評估改善風險,也就是第二階段的具體弱點評估,以及第三階段的模擬攻擊者攻擊路線的預測。Cymetrics透過循循善誘的分級檢測,以駭客視角從外部進行評估,提升企業的資安意識,也不會一開始就造成團隊過大的負擔。
完成檢測後,Cymetrics能協助媒合專業資安解決方案提供公司,也發揮自身領有保險憑照的優勢,建立將資安風險數值轉換成資安保險應保等級的know-how,幫助客戶投保,全面地為企業建立資安管理系統。
Cymetrics要將技術開源助產業發展,風險量化成護城河
紅樓資本共同創辦人楊曜陽提問:做資安檢測的公司不少,Cymetrics的護城河為何?
周彥儒回應,Cymetrics不只單純做檢測,而是提供一站式服務,連後續的保險與解決方案媒合都照顧到。尤其將資安風險量化成投保依據更是Cymetrics重要的產業知識,且傳統檢測公司不懂如何與缺乏資安團隊的中小企業交涉,更是他們的一大優勢。
周彥儒更表示,未來會將滲透測試拆分部份自動化的技術做開源,原因是台灣的資安生態還不健全,希望有更多企業進入產業一起基於該技術開發更多產品,就像蓋樂高前要先做積木一樣,要一步步建構出資安無虞的商業環境。
楊曜陽也藉自身在區塊鏈投資的經驗分析,區塊鏈公司的智能合約若遭駭後果也不堪設想,Cymetrics是否有針對此的服務?周彥儒說,對defi這樣的高風險產業來說,保險是剛需,Cymetrics的做法是與第三方檢測公司合作,再同樣做風險量化提供投保建議,藉此幫助區塊鏈產業。
創業小聚特約編輯
李佳樺
