近1~2年來,企業資安工作的重點逐漸轉變,由網路安全防護轉向防制資料外洩,趨勢科技總經理洪偉淦表示,在個資法即將上路、APT攻擊持續增加、企業IT消費者化三大因素影響下,企業愈來愈重視資料保護工作,如何避免個人或機密資料被駭客竊走,或是因為內部員工疏失/故意而造成的外洩事件,已經成為企業資安工作的核心。
因應新版個資法 在原有框架下增加防禦力
先就新版個資法來看,雖然至今還未正式上路,但因為法條大幅加重企業管理責任,故而引起高度關注,怎麼做才算是妥善因應?又該選擇哪些資安設備加強防護?對企業而言是一大挑戰。有些以研發為主要業務,或是擁有不少智財權文件的企業,原本就相當重視防制資料外洩,相對也會比較清楚如何因應個資法中「保護個資」的要求,但這畢竟只是少數,絕大多數企業面對個資法仍舊像霧裡看花般摸不清頭緒,就算制定好因應策略,也評估出需要導入的資安設備,接下來還是得面對導入過程中、在每個端點設備安裝代理程式(Agent)的麻煩。
洪偉淦認為,處在現今這個階段,企業不適合花大錢採購資安解決方案,除了上述問題外,部份法條規範不夠明確,仍有模糊不清的灰色地帶,也是原因之一,現在就投資未必能符合未來上路的法條要求,但完全置之不理又風險太高,權衡之下,不如選擇比較簡單的方式,在原有資安框架中放進資料防護相關的功能模組,不必改變使用者習慣,也不用安裝新的代理程式,等到法規明確之後,再來投入較多成本佈署大型(或獨立的)資料防護解決方案,會是比較兼具成本考量與法規遵循的做法。
抵擋APT攻擊 技術、人、行為、觀察缺一不可
資料外洩不外乎員工或是外部駭客兩種情況,事實上,因為員工違反公司規定而造成資料外洩的情況比較罕見,目前比較大的問題來自於駭客發動的APT攻擊。過去一年,APT攻擊時有所聞,駭客屢屢將攻擊成果公佈在網站上,雖然至今尚未見到台灣企業的名字,但這並不代表沒有,「最近在幫一些大型組織或企業單位做檢測時,都有發垷此類攻擊的身影,」洪偉淦說,尤其政府部門及有往來的合作企業、高科技、金融…等業者更需要小心防範。
絕大多數APT攻擊是低調的,而且會走正常port進來,現今的資安設備(如:防毒、防火牆…等)多半派不上用場,洪偉淦認為,APT是一種攻擊形式的統稱,沒有固定的攻擊手法,當然也就沒有特效藥,企業唯有先假設自己可能會被攻擊,定期檢視IT環境中有無安全漏洞或弱點、監聽網路封包,據此思考該如何補強,這樣的方式雖然不一定有效,但企業一定要去做。
再者,APT攻擊往往低調到令人難以察覺,又經常利用社交工程手法作為進入企業IT系統的敲門磚,愈是基層管理資安的人,感受愈深刻,反倒是高層並不重視此現象,偏偏這些高層又是社交工程主要對象,因此,資安人員還要透過說故事、彙整案例的方式,說服CEO正視APT攻擊嚴重性。總而言之,防禦APT攻擊不能單靠技術,必須結合人、行為管理、及觀察,找到或看到威脅所在,才能找出合適的解決方案。
面對消費科技潮流 做好控管是唯一的路
最後要談的就是企業IT消費化,對資料保護造成的衝擊。這可分成兩個面向:一是手持式裝置,一是社交媒體如:Facebook、Drop Box…等,像Drop Box原是提供給消費者個人使用的雲端儲存空間,但現在也有企業透過它來交換資料,企業並非不能運用這些社交工具,而是要思考控管方式,無論社交媒體或是手持裝置都有很高的資料外洩風險,在無法完全禁止員工使用的情況下,唯一方式就是做好控管。
舉例來說,員工若要使用自己的智慧型手機存取公司資料,必須向管理者提出申請、並在手機內安裝代理程式,讓IT人員可以掌握這些裝置在哪裡?由誰使用?存取哪些資料?確保其使用行為符合公司政策。洪偉淦說,如今是個IT浪潮調整的時代,眾人都還在尋找(或享受)使用便利性,過了一段時間才會思考到安全的重要性,過去的資安投資可能不再適用,企業必須重新找尋取得/保管/銷毀資料最安全的方式,在新的IT年代建立新秩序。
趨勢科技總經理洪偉淦表示,如今是個IT浪潮調整的時代,企業必須重新找尋取得/保管/銷毀資料最安全的方式,在新的IT年代建立新秩序。