近來全球各地,從企業、廠商、學校再到政府,甚至視安全機密為生命的軍情單位,皆不時傳出災情重大的資料外洩事件,難不成資料外洩也成了感染力超強的跨國性傳染病?雖然資料外洩不斷爆發的頻率毫無衰減的趨勢,但至少喚醒了企業對資料外洩防護議題的注意。
何以外洩事件頻頻發生呢?這實在與企業長久以來誤以為只要將企業對外網路安全問題搞定即可的觀念有關。McAfee台灣區技術顧問沈志明剖析認為,過去企業安全防護的重點一直擺在邊界安全與入侵防護上,而不是資料本身,才是資料外洩一再發生的主要因素。同樣的,Websense台灣區技術經理林秉忠也持相同見解表示,早期安全防護重點全在外部威脅的全面防堵上,隨著資料外洩事件的頻仍,才開始注意由內往外的外洩可能。
隨著個資法的即將通過及實施,資料外洩防護的重要性益形重要而急迫。林秉忠強調指出,過去駭客攻擊,受到千夫指、萬夫唾的當然是駭客本身。但如果企業爆發因內部員工引發的用戶個資外洩事件,企業將背負營運、商譽損失,甚至日後個資法實施時之重罰等後果及責任。如果企業有一套完備的個資稽核機制的話,將可讓上述風險降至最低程度。
Web查詢讓個資無所遁形 企業外洩管道處處可尋
對於企業來說,為了有效防止資料外洩風險的發生,首先必須了解並檢視企業內部機密資料可能的藏身之所,以及會造成外洩的可能管道、漏洞及原因有哪些。大致上而言,會存在企業機密資料的可能所在,不外資料庫、各類伺服器、端點電腦與儲存裝置,其中尤以資料庫中的資料最為關鍵,而伺服器主機及端點電腦則容易成為漏洞或惡意攻擊的對象,其竊取的目標除了使用中資料(Data-in-Use)外,帳號密碼之擷取更是重點目標所在。同時機器送修時更要注意,因為當前不乏許多因送修而導致資料外洩的案例。至於硬碟之類的儲存裝置,也常因不當報廢或上網拍賣老舊裝置時而引發資料外洩。所以企業必須針對這些機台或裝置,擬定完善的安全管理政策。
Fortinet台灣區技術顧問劉乙表示,過去不斷發生的資料外洩事件多半具備共同顯著特性,那就是外洩資料筆數十分驚人。事實上,駭客不論透過何種攻擊能竊得資料數量有限,會造成大筆個資外洩的最主要因素即在於內賊外洩及人為管理不當所致。由此可見,造成企業資料外洩的原因,除了外部攻擊外,來自內部有心員工的惡意行徑才最防不勝防,也會是外洩規模及程度最嚴重的環節。
以Web服務為核心的電子商務,不論ERP、CRM系統或B2B平台皆以內存許多客戶夥伴資料或商業機密的資料庫為基礎,也因為如此,如何做好資料外洩防護絕對是關乎企業形象聲譽乃至於營收的頭等大事。但這些電子商務領域的企業,向來的防護重點多擺在對外防護上,多半忽略了來自內部的更大威脅。
就以(圖1)中單純一筆客戶資料的存取過程來看,企業多半是透過網站、E-mail、傳真、電話等許多管道取得單筆的客戶資料,除了客戶透過網站直接輸入外,企業必須經由客服、工讀生或其他員工在Web應用程式介面裡,以人工Key-in方式進行資料輸入建檔程序。然後再透過應用程式傳送到資料庫中。日後,基於某某商務需求,企業內部客服、員工、工讀生,或外部合作夥伴便可透過Web介面進行資料查詢的動作。在上述客戶資料存取的過程中,事實上存在許多內賊可以上下其手的環節。
其中內賊可能包括有心員工、工讀生或合作夥伴,他們以所擁有的不同權限發動不同程度的竊密攻擊,權限愈高(如系統管理員、資料庫管理員等),外洩嚴重性愈大。當然,有心員工也可透過各種攻擊手法或工具,取得更高權限並竊取更可觀的機密資料。就算有心員工不具備存取資料庫的權限,但仍可以透過有漏洞的Web應用程式所發送的SQL指令,進行機密資料的查詢作業。
不論是有意、無意,抑或有權限、無權限地瀏覽或取得的機密資料,有心員工可以進一步將資料由內部外洩出去的管道實在不少。舉凡E-mail、Web Mail、IM、P2P、網路硬碟、USB隨身碟、光碟片、列印、掃描、影印、相機手機(直接拍文件或螢幕畫面),甚至更加防不勝防的針孔相機(畫素已達500萬)都可以輕易將機密夾帶闖關。面對這些洩密可能管道,企業必須儘可能透過各種防護措施或安全政策來加以杜絕,否則後果不堪設想。
個資防護沒有面面俱到的 方案全看企業屬性及需求
撇開外部攻擊之安全防護不談,光面對內部安全威脅,就可能需要分別以一次性密碼、網路存取控制、裝置控管、漏洞掃描管理、Web應用防火牆等安全防護方案來因應身分冒用、裝置洩密、伺服器或應用程式漏洞攻擊等可能風險。再就資料安全來說,也可能必須藉助加密、防制資料外洩(DLP, Data Loss Prevention)、數位版權管理(DRM, Digital Right Management)或資料庫安全等方案來防範。
至於臨時聘雇的工讀生,除了確保權限控管外,管理人員也需在每日工作結束時,於門禁處進行安全檢查,以防止有夾帶抄寫機密之文件出關的可能性。面對合作夥伴,除了保密協定的簽署外,沈志明建議指出,最好能要求合作夥伴納入整個客戶資料防護系統體系內,才有可能將資料外洩風險降低最低程度。博格科技總經理周世雄則認為,唯有加密結合DRM機制才能提供最佳的安全保障。
面對新版個資法等法規遵循要求,沈志明表示,在DLP機制下,任何機密檔案的存取行為全部都會被記錄下來,以做為日後安全稽核之依據,所以即使是離職員工的任何機密存取行為都難逃法眼。
雖然上述各種方案皆能在特定領域中發揮應用有的防護效益(見圖2),但任何一項方案不論在建置、管理、維護及成本上都有一定程度的困難及負擔,更別說要同時導入多種方案。但偏偏沒有一種方案可以徹底解決資料外洩的疑慮及風險,企業必須審慎考量自己的需求來選擇合適的安全方案才行。
對付惡意DBA 有賴資料庫安全稽核
相對於對外防護來說,資料本身的安全防護的確是企業長久以來較受忽略的重大環節。雖然在資料外洩事件頻仍,以及個資法等法規遵循勢在必行的壓力下,人們開始將目光焦點投諸在DLP及DRM等方案上。但即使如此,企業內部仍然有個十分關鍵的盲點,遭到行之久年視而不見的對待,那就是資料庫安全議題。令人好奇的是,當前電子商務多半會以ERP、CRM或SCM等系統做為成功經營模式與未來長久發展的關鍵基礎,其背後關聯資料庫的建置與安全維護的重要性不言而喻。或許是過去對外防護資安宣導的洗腦工作做得太好,致使幾乎所有企業安全資源全都放在對外安全防護上,而導致資料庫安全議題長久地遭到極其不平衡的忽略。
隨著資料隱碼(SQL Injection)、跨站指令碼(XSS)等Web攻擊的益形猖獗,不但讓Web應用程式與資料庫伺服器間的SQL指令傳輸、資料庫系統與應用程式漏洞的安全問題浮上檯面,也使得漏洞掃描及Web應用防火牆(WAF)開始成為安全建置上的新焦點。層出不窮的Web漏洞攻擊的確給予了惡意攻擊者取得資料庫機密的捷徑,劉乙表示,面對此一類型攻擊,傳統防火牆毫無招架之力,企業唯有透過Web應用防火牆才能有效杜絕上述風險的孳生。
但即使如此,仍然無法完全防止有機密存取權限之內賊,如惡意資料庫管理者(DBA)竊取資料庫機密的可能性。更令人憂心的是,擁有管理權限的DBA,甚至可以將「走過的痕跡」動手腳去除掉。針對上述疑慮,目前唯一可行的方案莫過於資料庫安全稽核與資料庫加密。在此先對稽核做介紹,至於加密會在文後再敘。資料庫安全稽核會對所有查詢及存取資料庫的行為加以記錄,同時也會挖掘出資料庫存在的弱點,並對管理人員提供可能威脅警示與修正建議。雖然該方案並不具備主動阻擋的能力,但安全記錄可供日後之稽核追縱,多少能對內賊起嚇阻作用。
劉乙建議,透過資料庫安全稽核產品與WAF的兩相搭配會是最安全的做法。前者採頻外(Out-of Band)佈署,亦即旁路模式,能對資料庫進行自動掃描、監控、稽核及報告等作業;後者建置在Web應用伺服器前端,以確保Web應用程式與資料庫之間交流的機密資料的安全性,並杜絕漏洞攻擊的可能性。解決方案代表性廠商請見表1。
面對資料庫安全政策之擬定,劉乙表示,使用者可以分別參考OWASP安全組織網頁文件及支付卡產業資料安全標準(PCI-DSS)。前者有許多參考資料及WAF的最佳實務指引;至於後者,則是所有購物網站、電子商務必須遵循的重要安全標準。此外,企業還需針對自身所屬的產業屬性,選擇合適的安全法規,以做為擬定安全政策上的參考。
內賊已成加密最大罩門 尋求最佳加密方案
前不久英國電信(BT)與Sims Lifecycle Services資產管理公司聯手與歐美幾家大學透過上網收購二手硬碟進行安全研究發現,竟有高達3成4的二手硬碟中被發現存在機密資料。誇張的是,其中甚至包括來自洛克希德.馬丁公司研發的美國測試戰區高空區域防衛系統(THAAD)飛彈試射流程等一級軍事機密,以及一些公司員工個資。該案例可說是當前資料安全,尤其是儲存資料(Data-at -rest)安全受到極度忽略的最顯著明證之一。
面對上述案例,相信任何人都知道只要透過加密就可以達到一定程度的安全性。但問題在於面對成千上萬顆使用中或即將報廢硬碟時,該如何有效做到,否則一家享譽國際的最大軍事武器製造商也不會犯下如此嚴重的疏忽。總之,想要對企業內部所有儲存資料都加密保護,絕對是件規模耗大,且需要嚴密安全政策搭配的長期工程。
不僅如此,除了儲存資料需要加密保護外,端點電腦上使用中資料(Data-in-Use),以及內部網路間或遠端辦公室之間傳輸中的資料(Data-in-Motion)都需要加密保護。針對前兩者,當前市面上主要是以主機型加密軟體來支應,至於資料傳輸加密,則多屬硬體式網路加密方案所顧及的範疇。其中,網路加密當然也有軟體方案,不過硬體式方案能提供較佳的效能、穩定與安全強固性。但不論軟硬體加密方案,都會對系統及網路效能造成影響,尤其企業建置儲存資料與端點資料加密時,可能需要額外投資整體效能更佳的主機系統才能因應。當前並另有直接內建加密功能的硬碟或磁帶機產品,提供了企業甚為方便又安全的保護機制,雖然比起其他儲存媒體來得貴,企業不需全面導入,而只要用在特定重要的應用領域即可。
撇開身分冒用攻擊不談,針對外部威脅,加密會是個非常方便有效的安全做法,但卻無法因應有心員工、甚至主管或IT管理人員的惡意外洩行徑。換句話說,加密最大的罩門在於擁有加解密權限的內賊,而且內賊權限愈高,自然可掌握更高之機密檔案存取權限,所以加密必須搭配其他方案才行。沈志明表示,透過DLP與加密之整合,除了會依據企業安全政策進行資料加密外,並且會自動發掘出機密資料進行加密保護作業。然後再針對員工權限、行為及資料機密性,進行偵測、警告、阻擋及記錄儲存等動作。林秉忠認為,一般人多半抱持著資料加密後就萬無一失的錯誤觀念,事實上加密必須同時搭配DLP或DRM方案,唯有三者互補才能展現其防護威力。
周世雄亦認為,加密必須與DRM等機制相搭配才行,其中尤以專案開發工程師等文件創作者為然。周世雄建議可以採取直接運行於Windows作業系統內核驅動層(Windows Kernel-mode Driver)的即時讀寫加解密技術來確保機密文件的安全存取。該技術可在使用者存檔時自動即時加密,開啟文件時也會自動立即解密,所以不會對使用者既有操作流程形成負擔。該技術並可與DRM、AD目錄服務相搭配,進而限制任意存取文件的行徑,或限定在特定機台或環境下才能開啟檔案。劉乙並建議,加密只需針對重點人物加密即可,而不需每個人都要加密。
對於企業來說,儲存資料及使用資料的數量實在太過龐大,那麼何不將加密重點直接放在資料庫上還比較有效率。當然針對文件創作端點仍需加密保護,但這類使用者及主機數畢竟不多,所以只要重點式地加以保護即可。而且對於電子商務業最常存取的客戶個資來說,資料庫加密方案才是最佳安全解決之道。
玉山科技指出,當前針對儲存資料加密的方法有三種:加密應用軟體、全資料庫加密與資料庫特定欄位加密。其中,加密應用軟體亦指主機加密方案而言,不但費時費力而且仍有安全疑慮;至於整個資料庫加密不但會對系統效能造成影響,而且影響的層面及耗費工程也不小。該公司認為針對機密資料欄位的加密會是兼具彈性與安全的最佳做法。例如nCipher SecureDB,此外Protegrity Secure Data、Protegrity DPS、Application Security DBEncrypt等產品亦皆屬於資料庫欄位加密方案。在全資料庫加密產品方面,則以NetLib Encryptionizer為代表。