國內個資法通過後,對於資安防護的挑戰,進入一個新的階段,最大的差異將是所有防護動作,必須是有意義的、也就是口語所謂『玩真的』。
最近一個浮上檯面的議題:APT(Advanced Persistent attack)攻擊。這種新式的攻擊讓人防不勝防,因為它有兩個特性:針對性、持續性,如果回到真實世界,它指的就是你被鎖定了、或被盯上了,經過一番調查、跟蹤,找出攻擊你的方式。難就難在敵暗我明、防不勝防。虛擬世界裡的攻擊還有一個更可怕的事實,與真實世界不同,資產被竊走,個人不會察覺,因為資產沒有消失,只是被複製帶走。這陣子以來,與所有資安專家們的對談,歸納出幾個結論:
- APT幾乎沒辦法防禦,它針對企業或個人發動各種可能攻擊,目前找不到擋下來的方式;
- 目前必須採用的對策,就是建立一套可以察覺問題的機制與方式。及早察覺出問題,回頭消抹掉弱點,檢視並調整防禦機制。
面對個資法,如何防個資外洩?面對APT攻擊,如何早期偵測、快速應對,以變動式的防禦面對變動式的攻擊。在在都代表資安工作的難度增加、防禦工作的負載增加。在災難即將到來之前,我們必須重申幾個長時間呼籲的重點:
- 各組織投入資安防禦的資源必須增加;
- 負責資安防禦的專職人員,要有捨我其誰的勇氣與擔當,積極推動安全觀念與恰當的防禦佈署;
- 從公務體系到私人企業,捨棄買設備的觀念,改為買服務。只要是設備,就只能擋標準的異常,持續變動的異常,還是得靠人來及時對應;
- 資安設備商、代理商、集成商(服務商)請歸定位、各自扮演專業角色,以提供各式專業的服務。
最後要說的是一項新的認知:資安設備的貢獻度有限,但是仍然不可少,除了設備外,專職專業的資安人員,加上專業的資安服務廠商,才能一步步面對持續而來的新挑戰。