隨著愈來愈多實際案例與調查報告言之鑿鑿地將內部有心或疏失員工視之為企業資料外洩的最大威脅來源後,或許長久以來將外部威脅列為資安防護與預算上最大重點的普遍做法與政策,實有重新檢視與變更的必要。但即使企業成功扭轉了內外威脅防護的比重後,真正棘手的問題與挑戰,也就是企業要如何建立由內而外的有效資料外洩防護機制的艱鉅任務,正等著企業面對。
長久以來,企業與組織一直飽受類型繁多且攻擊手法層出不窮的外部攻擊威脅,所以只要提到資訊安全或資料外洩防護,所有防護矛頭莫不指向外部威脅。也因為如此,幾乎企業所有的心力、人力、預算與防護重點,全都放在從外部而來的各種安全威脅,反而對於擁有合法存取權限的有心員工,毫無警覺之心與防備之力,也難怪內部威脅會成為APT攻擊出現之前,導致企業資料外洩最頻繁也最嚴重的主要原因。
指證歷歷! 權限者異常行為成為資料外洩最大主因
事實上,早在2005年,便有研究報告大聲疾呼資料外洩主要來自內部員工的提醒,當時資料外洩防護(Data Loss Prevention, DLP)方案商Vontu便聯合隱私權暨資訊管理研究機構Ponemon Institute共同發表研究報告指出,資訊安全的最大威脅並非駭客或病毒,而是惡意或粗心的企業內部員工。
隨後,Ponemon Institute另外與安全方案商賽門鐵克(Symantec)在連續兩年(2011及2012年)共同發表的《全美資料外洩成本研究》報告中分別指出,玩忽職守的員工是資料外洩的最大元兇;絕大部分的資料外洩是由人為錯誤與系統缺陷所致。沒多久,同樣的說法又再度出現在2013年市場研究機構Forrester的《了解資料安全與隱私權狀況》的研究報告上。緊接著,Verizon最新《2014資料外洩調查報告》並指出,大約58%的公部門網路安全事件肇因於內部員工,其中約34%是員工在資料控管上的意外事故所造成,另24%則因未經授權與惡意的資料濫用所致。
由此可見,儘管業界早有專家警告內部威脅的重要性,但直到現在,不論問題的嚴重性,乃至企業組織輕忽的程度仍然沒變,尤其是隨著行動裝置及雲端應用的大行其道,員工得以在任何地方、任何時間存取公司資訊,益使得「內部」威脅的戰線變得更大、更複雜,在有限人力因應外部威脅尚且手忙腳亂的情況下,更遑論會顧及長久輕忽的內部威脅問題了,結果,內部威脅自然隨著時間而更加坐大。
其實,玩忽職守或粗心員工的資料外洩還好補救,只要透過一定強度的加密機制,多少可以降低安全風險。但最令人擔心的,莫過於擁有合法權限員工的有意之舉,更別說擁有最高權限的主管或資料庫管理員了,其帶來的將會是一場浩劫與災難。
基於牟利、跳槽的資料外洩事件頻傳
透過實際的資料外洩案例,我們可以發現,即使是世界級的一流企業也無法有效防範內賊將資料外洩的有心之舉。2014年1月下旬,可口可樂公司爆發7.4萬筆個人資料外洩事件,這些個資多半是社會安全碼與駕照號碼等敏感性資料,除了1.8萬名現職員工受到衝擊之外,大部分受到牽累的皆屬前任員工,而另外也有4,500筆個資是與外部承包商或供應商之員工有關。
據報導指出,該起事件起因於前MIS人員將數十台筆電偷走所致,由於被偷筆電原屬人力資源部門人員所有,再加上筆電所有資料都沒有依照公司安全政策進行加密,莫怪乎會有如此多筆的個資淪落到有心內賊之手。
接下來,今年6月13日又爆出AT&T手機綁約客戶個資外洩事件,雖然AT&T早在2010年便曾發生過,因內部授權員工濫用存取行為,而導致11.4萬筆旗下Apple iPad 3G綁約用戶郵件地址外洩的事件,但比起今年完全基於營利而竊取個資的誇張程度比起來,就似乎有點小巫見大巫了。
在這起事件中,三名具備手機紀錄存取權限的AT&T外部供應商員工,濫用權限存取顧客生日及社會安全碼等資料,目的是為了將AT&T綁約的手機解鎖,好拿到二手市場上轉賣獲利。
除了國外離職員工及合作夥伴授權員工的外洩案例外,台灣許多知名企業近年來更飽受主管級員工帶著公司營業秘密跳槽或被挖角的嚴重打擊。其中較知名的像是,在台積電工作長達17年,並始終參與該公司最先進製程技術研發工作的前研發處資深處長梁孟松,於2010年轉任韓國三星副總經理。
更誇張的是,2011年,友達光電前顯示器開發中心協理連水池、OLED技術處經理王宜凡,偷偷夾帶面板技術與其他營業秘密跳槽至中國TCL集團旗下面板廠華星光電,並分別出任TCL集團工業研究院副院長與華星光電AMOLED開發部長。
接著,宏達電前設計副總兼HTC首席設計師簡至霖,涉嫌於2013年將未發表之新版Sense 6.0圖形介面程式帶至北京向客戶做簡報,甚至做為未來與妻子合開新公司之用。
但對整個業界有著深遠負面影響的,莫過於聯發科前任手機晶片事業部總經理袁帝文的洩密案。據傳袁帝文於2013年2月離職後,曾透過行動硬碟複製帶走聯發科共2,053筆機密資料,準備跳槽至中國手機晶片供應商展訊通信,又傳其透過獵人頭公司,挖走聯發科內部關鍵專案研發人員。
雖然期間智財法院曾先後核准「緊急處置」與裁定假處分,外界並視為是聯發科的策略正確所致,但2014年6月,新竹地檢署卻以罪證不足判不起訴處分。姑且不論誰對誰錯,但業界不少專家認為此舉將會對台灣高科技業造成負面衝擊,今後對岸競爭對手恐將更加肆無忌憚地展開挖角與竊密之舉。
內賊難防!建立及早發現與完善稽核防護機制
當前只要是在新聞版面上爆發出的資料外洩案,雖然無一不是具備商業報導價值的大公司,但也突顯出即使大型企業也沒有(能力)做好資料外洩防護的工作,因為所有事件都是在資料已經外洩後才曝光的。也因為如此,這些公司多半透過緊急補救的視訊監控與徵信社資料,來做為法院訴訟與控告上的依據。
只要是心思細密、有心牟利或打算跳槽的員工,必定是採取長期、少量、漸近的五鬼搬運法來達到機密竊取的最終目的,所以當企業感到可疑並發現異常時,往往已是竊密員工離職之後好一段時間,同時資料恐怕早已外洩到競爭者手中了。
正因為外洩者是擁有合法權限的在職員工,所以可以大喇喇地以合法掩護非法,行竊密之實的勾當。面對明明是合法行為(尤以愈高權限者為然),但要如何從中判斷(尤其是即時的判斷)出異常,著實考驗企業在安全防護上的能耐。不論如何,異常判斷是個門檻,更甭說即時判斷的門檻更高,所以這些都是企業必須立即補強的地方。
面對內賊資料外洩的防範,企業必須了解,當前任何宣稱具備資料外洩防護功能的單一解決方案,都很難達到即時與事前防範的作用,尤其對採行自帶裝置上班(BYOD)政策的企業而言更是如此。所以企業必須要有正確針對內賊資料外洩防護的觀念與做法,亦即建立及早發現並能儘可能降低損失與風險的整合式防護方案,或許主動外洩防禦與完善稽核追蹤的結合會是最佳解決之道,因為稽核可做為事後訴訟成功的重要依據,而唯有整合方案才能讓企業在最快時間內發現並阻止內賊異常行為,盡可能地達到降低風險與損失的目的。
釐棈資料外洩等級 祭出對應措施及方案
資料外洩的防範是有分等級的,換言之,針對不同等級的外洩,必須釐清不同防護方案所能達到的作用與侷限,然後才能祭出有效的搭配型方案。就以加密為例,其適用於外部攻擊,抑或裝置遺失所引發資料外洩的防範。但對於具備一定程度權限有心員工的惡意之舉,防護效果有限。
所以針對安全事件,除了會依據內外部不同威脅,擬定對應的安全政策與措施,並部署適當的防護機制之外,針對不同權限的內部員工,也必須以不同安全政策、措施與方案來因應,畢竟針對C級主管、資料庫管理員(DBA)或參與機密專案的研發人員的控管措施,絕對與一般員工不同。企業必須針對不同權限等級的員工,詳列各種不同可能情況下的防護基準。例如將安全與管理權限切割,讓安全人員有安全權限而沒有存取與管理權限,管理人員則反之,以達到相互制衡與風險降低的作用。
此外,當前企業為了提升產品品質並加速產品上市時間,多半會採取協同開發與設計的做法。參與專案的人,除了內部員工外,也有可能來自分公司,甚至國外分公司人員,以及合作夥伴的員工。人多都難免口雜了,更別說外洩可能性的提升,尤其當前大型企業會透過視訊會議與電子白板,來與全球各地分公司或合作夥伴進行線上協同設計會議,所以有心員工很容易從中做手腳,對此企業必須加強分公司或要求合作夥伴,提升主動防禦與稽核追蹤的能力。
縮小戰場、集中火力
隨著巨量資料時代的到來,公司資料已達泛濫程度,加上外洩管道百百種,涉及機密專案與資料的人員日益複雜,而行動化與BYOD潮流更讓裝置管理的難度攀升,這些都是導致資料防護戰線愈來愈擴大的重要因素。所以想要打贏權限者資料外洩防護戰役,必須先縮小戰場、集中火力,才能看到事半功倍的曙光。
既然攻防的重點都在資料身上,企業首要工作莫過於資料大普查,亦即搞清楚企業內部資料的位置、數量與類型,然後進行資料機密等級的分類與定義,畢竟當前資料那麼多,多到連企業都必須藉助巨量資料技術才能從中挖掘到想要的商業智慧與洞見。所以資料不預先做好定義及分類,致使防護範圍太大,只會讓防護機制無從防起,最後落得花了錢卻跟毫無防護機制一樣的下場。
資料定義完之後,牽涉智財等機密檔案當然非防不可,其明確性無庸置疑,但除此之外到底要不要防,則是企業必須要界定清楚的。再者,隨著個資法推行,員工資料自然也成為外洩防護的重點,尤其要建立針對內賊(例如人資或內部活動舉辦人員)藉由職務之便竊取其他員工個資的防範措施。
更重要的,既使特定人員有權存取其他員工或客戶資料,但企業也可透過限制其一次可以存取的數量並輔以異常行為監控機制,儘可能地將風險限縮控制在最低程度。最後則是資料的稽核追蹤,亦即加強掌握所有資料狀況的能力,舉凡資料在何處及何時被複製或傳輸,同時確保DLP、加密或SIEM等安全機制能夠適時到位地發揮作用。
建立縱深防禦的總體整合戰略與防護網
總之針對權限者的資料外洩防護,絕非單一資料外洩防護的產品所能因應,企業必須從以下幾個面向切入才能建立整合式的完善資料外洩防護機制,這也是今後資料外洩防護的明確發展方向。
* 資料本身(DLP + 加密):資料探勘、定義及分類,再針對機密資料進行資料加密與DLP保護。
* 使用者本身(身分識別管理 + 存取控制):前者主張有什麼權就做什麼事,但只能防範非法存取,合法權 限會有防護漏洞;後者重點在於外部威脅。不論如何,至少可讓最機密的資料,僅限少數最高權限者才可存取。
* 行為及事件本身(SIEM、員工上網行為或SOC):可區分出正常合法與異常非法之行為,搭配DLP等其他方案,可對異常行為儘可能地「即時」判斷與告警。
* 裝置本身(BYOD政策 + MDM或MAM + VDI):可將分散各地的行動裝置納入到安全控管與安全政策分派的範疇內,至少可防止因裝置遺失或遭竊所引發的資料外洩,同時或許也可稍稍防止行動裝置及App成為有心內賊的外洩管道。再者,透過虛擬桌面,可以集中控管所有端點系統、桌面環境、應用程式與資料,在員工只能線上存取而無法直接複製資料的情況下,多少可降低資料外洩風險。
* 應用程式本身(應用控管):可杜絕不當應用成為內賊外洩的管道,但應用控管原本目的仍是針對外部攻擊。