用6W1H重新檢視資安政策

不景氣下的資安政策宜運用6W1H檢視環境降低資安事件，並思考如何將入侵損害減到最低。

在全球金融海嘯的侵襲下，各行各業都在驚濤駭浪中度過了一個難忘的新年。也由於預期在短期內景氣不會快速的復甦，所有企業也在公司的各項預算開銷和年度計畫上儘量地減少花費，或者要求要有更佳的性能價格比與投資回收，畢竟把有限的錢花在刀口上是今日所有企業主的共識之一。在這個過程中，在資訊安全上的投資如果沒有詳加檢視，往往也會因為似乎沒有顯著需求而落入非必要性的新增花費類別中而遭到刪減。

這樣的說法乍看之下也似乎沒錯，過去整年下來幾乎沒有聽說台灣有哪一家公司行號因為病毒爆發事件而整個停擺，所有的防毒大廠也沒有發過任何一則全國甚至全球性的病毒警訊，所以各家企業在資訊安全上的投資應該已經足夠了吧？台灣企業主的盲點在於對資安威脅的認知程度，多數仍然只停留在病毒會導致系統當機的階段，只要公司資訊系統能夠運作就認為是西線無戰事了。

用6W1H重新檢視系統風險
企業與機關內負責資訊安全的部門主管如果想要在有限的經費預算下求取最大的資安防護功效，不妨由6W1H原則來試著分析了解一下現今資安威脅的全貌：

What, Who, Why
事實上，今日的病毒作者與駭客可能比許多企業主還清楚，企業資訊系統中的「資訊」才是真正有價值的東西。早期攻擊者的癱瘓破壞系統或置換網頁行為只能拿來做炫耀與宣示之用，今天如果能掌握企業的商業營運資訊，在有心者的手中都可以操弄與變換成實質金錢，這也是為何許多的犯罪團體會極力網羅有病毒寫作與入侵電腦的能力的「人才」。簡單的說，就是「犯罪集團」為了實質的「金錢利益」而去竊取「資訊」，台灣也實際發生了電腦駭客高手最後淪入與犯罪團合作的案例。

Whom
金融機構的商業營運資料庫、高科技公司產品研發資料或是政府單位的機密情報固然是顯而易見的標靶，其實所有個人的財務與隱私資訊也是攻擊者的目標。個人信用卡盜刷事件時有耳聞，線上遊戲盜寶已非新聞，甚至只要本人或周遭如果有親友從事網拍或線上購物的行為，多少都有遇到詐騙集團藉由蒐集到的交易資訊企圖詐財的經驗，這些現象都已顯示今日資安攻擊的對象已由資料統一集中管控的機關企業擴散到擁有網路使用能力的個人身上。

Where
這些被當成目標的資訊一定都在機關企業的伺服器與資料庫當中嗎？每個人只要想想轟動一時的「陳冠希事件」，再去檢視一下自己儲存散布在手機、電腦、隨身碟、網站、部落格上的數位資料，就會知道有多少個地方可能有資料遺失的風險。儲存媒體的輕量化、高攜帶性、高容量、低價化已經讓人人手邊總有幾個這類的裝置，裡面公務與私人的資料存了一堆但卻沒有人認真的想過萬一遺失或遭竊的後果。再加上最近熱門的「雲端運算」話題，許多的資訊更是被放在不知座落在地球上哪個角落的公眾伺服器上，更是為企業的資安管理添加了不少的困擾。

When, How
不幸的是只要連上網路，就會有風險，而且攻擊手法變換日益翻新、層出不窮。讓試圖提供攔阻與偵測能力的資安廠商疲於奔命，並且總是居於下風。因為傳統的資安解決方案 (如防毒、入侵偵測、防火牆) 都主要在解決已知的攻擊手法與模式，畢竟沒有人能真正預測還沒有發生的攻擊入侵方式，以真實世界來說，就連台灣每年老人小孩都會施打的流感疫苗也僅是專家推測最可能發生的流感類型，只能降低感染的機率而非打包票。

如果企業能對自己的資訊系統做過簡單的6W1H分析，就能由政策的制定在6W上面減少資安事件發生的機率，這樣也可以讓既有或小幅調整的資安解決方案在1H的防護上發揮最大的功效。舉例來說；美國國防部經歷了中央司令部遭愾客入侵慘痛的教訓後並沒有立即添購任何資安設備，而是下令所有隨身碟一律不准使用；我國國防部則採用指紋辨識與加密的隨身碟等，都是在確保資安系統不會因此類設備的使用而被破解。又如園區高科技廠商禁止使用有照相與記憶卡的手機攜入廠區，也是為了避免可能發生的資安漏洞。

防堵之餘，更應思考將入侵損害減到最低
其實不只是企業，有些軟體開發廠商也採取不同的思維。Google發表了自行研發的瀏覽器Chrome，其中關於資安部份的設計卻採取了非傳統式的觀點：與其要做到程式本身滴水不漏的安全性 (事實上是不可能的)，倒不如承認遲早一定會遭受駭客的入侵，因此資安設計重點是放在如何在修補漏洞前即使被入侵但不會造成嚴重的損害。這種態度也很值得企業借鏡來考慮現有的資安政策與防護，例如：不要指望員工不會遺失筆記本電腦，而是考慮如何減低遺失後的風險；不要奢望員工的電腦不會中木馬，而是要確保該電腦對機密資料的存取權限；不要認為公司網路不會遭受入侵，而是要考量如何讓重要的資訊資產避免被非法盜用的機會。

總之，藉由了解到攻擊者真正覬覦的資訊資產的所在，才能針對該資產整理出平日正常被使用的方法與管道。簡單的說，一定是「特定的人」使用「特定的裝置」經由「特定的連線」存取到儲存在「特定的系統」上的「特定的資訊」。未來的資安防護就是以資訊為核心，利用政策管理與資安產品做好層層把關的防護，同時在每一層防護中都要預想到萬一失效的對應方案。以上例來說，先確認使用者的身分（2-Factor認證），但即使人對了而裝置不對（使用非公司的電腦或未安裝資安軟體），就應該拒絕存取；人和裝置都對但連線不對（不在公司內或非特定時段），也應該拒絕存取；人與裝置及連線都對但試圖存取非許可的系統（被直入木馬或後門軟體），當然也要拒絕與產生警報；特定的資訊能否被複製到其他系統？攜帶型媒體與裝置有無加密？種種考量皆應以所需要被保護的資訊為出發點。

所謂「道高一尺魔高一丈」，許多專家已經感受到未來資安攻擊的力道與步伐已非資安廠商能夠有效抵擋與跟隨的。如果整個企業的資安防護沒有認清今日攻擊的主要目的在於取得資訊本身而非破壞系統，那麼表面上看來已風平浪靜多時的IT環境，其實可能已經暗藏許多資訊外洩的管道，企業也在無知中不斷喪失資產。唯有主動對資訊的運用本身採取「管理」的態度，才可能讓企業能有效的面對資安的威脅，讓企業在不景氣的寒冬中保存之資訊資產種子有機會在景氣復甦後能迅速發芽茁壯。