以 26 個實際案例教你如何看懂資安攻防思維

有效辦識企業資安資源配置，建立資安敏感度！


本書內容改編自第 15 屆 iThome 鐵人賽 Security 組完賽作品《從永續報告書看資安》。內容以《哈佛商業評論》2022 台灣企業領袖 100 強的榜單中，精選 26 家企業所編製之永續報告書為藍本，分析其資安組織、資安作為，學習辨識其最有價值之資訊資產及其資訊資源配置。不僅以 CyberDefenceMatrix 矩陣方式分析各家企業做了什麼，從矩陣中還可以看出那些地方是未來加強的重點。

目前主管機關要求上市櫃企業應設立資安長，而資安長在管理企業資安時，常面臨不知道威脅來自哪裡，不知道要如何有系統的排查企業資安問題。所以本書引入洛克希德馬丁的 Cyber Kill Chain 攻擊七階段、Mitre Att&Ck 的攻擊十四階段、NIST CSF 防守五階段的框架，有系統但與個案脫鉤的介紹各階段的攻防思維重點，以便資安長可以按圖索驥，了解資安、戰勝威脅。

本書的 26 家企業，除了半導體產業、高科技產業之外，還包含了航運業、金控業、電信業、紡織業等多面向的行業別。不同產業所要保護的資訊資產，其實有很大的差異，這是在本書的形成過程中，深刻的體悟。有道是「資安即國安」：26 家企業中有不少是關鍵產業，其資安的良莠，對於台灣整體的經濟發展，具有舉足輕重的影響。

此外，書中精心設計了延伸閱讀，假設你是企業的資安人員，面對資安框架所提出的情境，你會如何下決策？這十分考驗在時間、金錢、人力有限的情況下，如何做出對企業最有利的決策。


本書特色
❑ 從永續報告書了解企業在資安上的實務作為
❑ 剖析各範例企業的資安組織及其優缺點
❑ 應用資安框架模擬紅藍隊攻防演練
❑ 每章對其個案提出延伸思考


專業推薦

本書透過介紹 26 家大型企業的實際案例，揭示了企業資安攻防的複雜性與挑戰性。每一個章節都透過詳細的分析和解說，展示了紅藍隊攻防在不同階段的應用與實施。同時亦深入介紹資安技術的層面，強調企業在數位經濟時代面臨的個人資料保護法挑戰。此外，本書還提供了一些延伸思考的章節，讓讀者能夠更深入地思考及探討資安問題。這些思考主題包括資訊安全的倫理問題、新興技術對資安的影響、資安教育及培訓等，將有助於讀者加深對資安防禦策略與實務的理解，並激發創新思維，提出更有效的解決方案。這是一本結合理論與實務，值得一讀再讀的資安實務寶典，必將在資安領域引領一波新的學習浪潮。
—— 蕭幸金教授｜國立臺北商業大學會計資訊系


本書匯集豐富的經驗和知識，以及各項常用的工具應用、操作，並提供了關於紅隊演練的全面指南。在眾多的資安解決方案中，以 CP 值及時效性來說，紅隊演練是最高級、也最高貴的。因為這等於是在企業資安設備軟、硬體到位後，資安藍隊人員也到位後，整備完成後的資安模擬考，呈現企業對於資安風險的控管能力，這樣的演練不僅是一種主動式的措施，更是一種預防性的策略。紅隊演練是確保組織能夠應對不斷變化的威脅的關鍵步驟之一。無論您是資訊安全專家、企業領導還是對資安感興趣的讀者，我們相信本書將對您有所幫助。
—— 黃綱正、范瑋凌｜凌煌科技有限公司創辦人


本作企圖透過公開透明的永續報告書，為各大企業及利害關係人分析前所未有的解決方案。不僅將多家企業的資訊安全實踐和風險進行了詳盡的彙編，還透過量化指標和質性的解讀，使讀者能夠深入了解每一篇報告背後的管理策略和高階長官的實際考量：企業的策略、價值和未來發展方向。本書的真正價值，不只是其深入廣泛的內容，更重要的是它將資訊安全提升到了戰略的層面。對於任何關心企業發展的人都是一本不能錯過的好書。真心推薦給大家！
—— 劉家如（虎虎）


台灣在 2023年的惡意威脅數量急遽增長，每秒遭受近 1.5 萬次攻擊，高居亞太地區之冠。面對如此針對性攻擊的威脅，企業應調整資安維運策略，即時偵測並阻止駭客攻擊。本書中提到26 家企業的永續報告書中的資安實踐，結合知名資安框架 Cyber Kill Chain、Mitre ATT&CK 和NIST CSF，以及紅藍隊的攻防思維。提供給讀者一本工具書，讓資訊人員作好資安的聯防機制，給企業的資安一個永續發展的未來。從企業風險建模的角度，我衷心推薦本書，希望台灣的永續報告書，在未來能夠百尺竿頭，更進一步，這就有賴本書的讀者，在各行各業的努力，也感謝作者的拋?引玉。
—— 陳威有｜保險安定基金精算師

目標讀者
・企業資安長、資安人員
・企業 ESG 永續報告書編製負責人員
・大專院校資管或資工科系師生
・對資安有興趣的組織或個人