close
隨著時間巨輪的不斷前進,資訊技術伴隨著蓬勃發展的網路,產生了各種五花八門的應用,
而行動裝置的普及,更有著推波助瀾的效果,將資訊科技推向高峰,
Cloud、Big Data、Mobile、SDN(Software Defined Network)、Openstack…等推陳出新的資訊技術與應用不絕餘耳。
資訊科技這個戰場,就像進入了戰國時代,群雄並起,百家爭嗚,各自發展卻又彼此關聯。
這樣的狀況一則以喜,一則以憂,喜的是資訊科技一日千里,意味著或許未來人類的生活會因為資訊的進步而變得更加有趣與便捷;
憂的是,資訊安全面臨的挑戰也更加嚴峻。
回顧2013年,
1月,資安研究公司Mandiant揭露了中國上海的一支訓練有素的人民解放軍,61398網軍部隊;
3月,韓國爆發史上最大駭客攻擊事件,6家大型企業,將近5萬台的電腦無法正常運作;
5月,廣大興28 號引發的台菲兩國網路大戰;
6月,前美國中央情報局雇員,美國國家安全局技術承包人史諾登披露了美國國安局的稜鏡計劃監聽專案;
10月,最狠毒的勒索惡意軟體CryptoLocker猖厥;
11月,Adobe遭駭,高達3,800萬用戶受害;
12月,美國零售商Target 4,000萬筆信用卡資料遭竊,以及資安廠商RSA的淪陷。
雖然諸如此類的資安事件層出不窮引起了社會大眾的恐慌,但也引起了政府機關,民間機構,以及各行各業對資訊安全的重視,
他們了解到,在業務快速發展與提供更好的服務給客戶的同時,保障客戶的資訊安全與隱私更是不可忘卻。
在談論資訊安全這個話題之前,我們必需先清楚的知道,究竟「資訊安全」是什麼,我們才能有正確的應因作為,
知名的資訊科技研究顧問公司Gartner認為的資訊安全是,
Getting the right information to the right entity at the right time in the right context to take the right action.
而彙集群眾知識而成的Wiki則認為,資訊安全是為保護訊息及訊息系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。
「安全」的定義比較容易理解,那麼到底什麼才是「資訊」呢?
所謂的「資訊」,在台灣稱作「資訊」,在中國大陸則稱為「信息」,以「信息」的角度來看就會比較容易理解一些。
所謂的「信息」,一般而言,指的是企業或組織在營運時所收集、產生、或運用的資料,它可以是任何形式,不論是有形或無形。
所以存在於電腦中的資料是資訊;列印出來或書寫在紙張上的也是資訊;甚至是人與人的對話,都算是一種資訊的型態。
既然資訊是以各種形式存在,那麼資訊安全就絕非只是資訊單位的事,
而是全體公司上下同仁都應該重視與注意的,畢竟會影響企業資訊安全的人,並非只能是資訊單位的同仁。
我們從2012年美國電腦安全協會(Computer Security Institute, CSI)的資安事件調查報告中可以看出,
有關資訊安全的威脅,將近70%是來自於單位內部人員,
也就是說企業在資訊安全上的作為,不只應該從技術層面著手,對「人」的重視與管理,也是資訊安全工作的核心。
有關資訊安全的作為,我們得內外兼顧雙管齊下。
對內,除了提昇員工的資訊安全素養之外,也要建立員工的歸屬感,提昇員工的忠誠度與向心力。
對外要防範的,則是一般我們所謂的「駭客」。
駭客所創造且利用的惡意程式數量逐年攀升,其種類多如牛毛且花樣百出,
每每一見總是令人耳目一新,惡意程式的作法與包裝,已經到了讓人瞠目結舌的地步。
面對駭客這樣具有高度創意的產業而言,資訊安全防護也就沒有所謂的單兵作戰,
講求的是防禦縱深,必須要由多個資訊安全措施與防範作為所組成,每一個環節都非常重要。
然而每個企業的資訊預算有限,要把有限的預算投資在對的環節上,才能達到事半功倍的效果。
以下提供四個方向與層面供各位參考,以作為企業評估資訊安全防護所應採取的方法與重心,盡可能減少駭客對企業資訊安全所帶來的威脅。
1. 人才培育
正所謂知己知彼,百戰不殆,要防範這樣雲深不知處的駭客,第一步就是要成為那樣的人。
企業內應該培養這樣的人才,盡可能理解駭客的思維,才能作出相對的防禦措施。
一般來說,網路犯罪跟現實生活的犯罪流程大抵上是相同的,下述步驟為大多數駭客的標準流程,企業可用來確認在每一個流程中,是否有足夠的防護措施。
(1) 探勘(Reconnaissance)
(2) 掃描(Scanning)
(3) 權限取得(Gaining Access)
(4) 維持存取(Maintaining Access)
(5) 隱匿行蹤(Clearing Track)
2. 外圍防範
就像古代城堡所作的防禦一般,築起高聳的城牆,挖掘寬廣的護城河,
在城牆與城門安排哨兵,在領土範圍內派遣斥侯等,這些都是維護安全的措施。
對應到今時今日,IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)、
Firewall、滲透測試(Penetration Testing)、身份驗證技術…等,該有的防護,一個不能少。
3. 內層防護
當最外圍的防護措施不幸被突破後,甚至駭客根本上就避開外圍的防護,
以社交工程或是任何繞道的方式進入企業,就該輪到這一層的防護上場。
防毒軟體、弱點掃描、USB管理機制或是權限控管,都是內層防護該有的作為,
但事實上,「員工」在內層防護中,才是扮演著至關重要的角色。
不論是資訊安全宣導、教育訓練或是資訊政策與相關規範的制訂,
都是要以提昇同仁的資訊安全素養與資訊安全認知為目標,以減少駭客以社交工程的手法由內而外造成傷害。
4. 事後工作
很遺憾的,我必須告訴各位,資訊安全防護沒有百分百,
即便是最頂尖的資訊安全公司也無法保證不會發生資訊安全事件,
所以資訊安全事件的演練與回應計劃就變得相對重要,
當資訊安全事件一旦發生,可以讓處理人員冷靜沉著應對,並在有限的時間內快速作出回應以降低傷害。
此外,軌跡(Audit Log)的留存也十分重要,軌跡留存有兩個目的,
一個是確保資訊安全事件已完全排除;
另一個則是從軌跡中學到經驗,知道駭客是透過哪一種方法、哪一條路徑造成企業的資安事件,而這也是所謂的「數位鑑識」。
數位鑑識是另一門新興的學問,這邊就不多作介紹,但對一般的企業而言,實務上的流程大致如下
(1) 維持現狀與證據保存
(2) 確認不明連線行為
(3) 確認可疑執行程式
(4) 確認不明註冊機碼
(5) 開啟監控軟體,觀察後續行為
(6) 找出根因,並加以矯正與預防
人才培育、外圍防範、內層防護以及事後工作都做了,資訊安全就算告一段落了嗎?
我想答案是否定的。資訊安全沒有最好,只有更好。
資訊科技愈進步,其所帶來的資訊安全問題就愈複雜,資訊安全是一個必須努力不懈、持續精進的防護工作,
就像最近駭客常用的手法,進階持續性滲透攻擊(Advanced Persistent Threat, APT)一般,也是經過一番改良與演進而成,
而未來也會有更新的攻擊手法,資訊安全正也應該如此不斷調整與改善才是。
參考書目
- Ethical Hacking and Countermeasures/EC-Council
- Computer Hacking Forensic Investigator/EC-Council
- Security Guidance for Critical Areas of Focus in Cloud Computing V3.0/Clod Security Alliance (CSA)
- Cloud Computing-Benefits, risks and recommendations for information security/European Network and Information Security Agency (ENISA)
- Financial Time, How Good is Your Cyberincident-response Plan? /Tucker Bailey, Josh Brandley, James Kaplan
- Financial Time, The Hacker Hunters /Caroline Binham
- McAfee Threats Report: Third Quarter 2013/McAfee Labs
- IThome 640期
文章標籤
全站熱搜
留言列表
