觀點

人人都是資安人

2012 / 11 / 21
張維君
人人都是資安人

個資法上路日期先前一再更改,但據說目前101日這個說法的可信度已有8成。若是這樣距離法案上路已經剩下不到兩個月,但7月在各大論壇,仍有許多網友抱怨購物後還再接到詐騙電話,遭點名的不止一家購物網站。資安專家也表示,近期的確有知名國民成衣網購業者的系統遭到攻擊,但其實駭客所使用的攻擊方式並不特別,不需要用到最新的Zero Day漏洞,原本脆弱的系統三兩下就可以讓他們長驅直入(想知道更多,請立即報名8/30「個資停止外洩 打造安心的Web系統」)

 

現在的攻擊若不是為了個資,就是某些「國家級資助」的攻擊。如果是前者,以前受害者可能會接到詐騙電話,要你去ATM轉帳或代買遊戲點數,但最近許多人的臉書帳號相繼淪陷後,會以訊息詢問好友的手機號碼以代收簡訊──『方不方便用你手機幫我收一下簡訊?』詐騙手法換湯不換藥,先讓你點選連結,中毒之後從過去竊取msn帳號換到臉書帳號,然後便是騙取你的手機號碼、要求轉達驗證碼等。

 

一直以來,企業資安人員進行社交工程演練、認知宣導,都會呼籲「不要亂點連結」。而現在許多目標式攻擊,所寄發的電子郵件誘餌,不僅是放置連結、PDF檔案,甚至是RTF檔案或加密的檔案以躲避偵測。這些含有誘餌的郵件用過去的資安防禦設備很難及時偵測,於是新的APT解決方案紛紛問世,本期封面故事針對各種方案有深入介紹。

 

過去資訊安全總是一直談3PPeople, Process, Product(Technology)。技術或管理制度的導入,透過一個專案團隊都可以達成,但最困難的還是,要在企業當中建立起資安文化,是我們一直認為很不容易的事。本期案例分享,世新大學將ISMS跨出電算中心,導入使用單位的經驗值得參考,希望你喜歡。