隨著全球資安事件持續頻傳,駭客攻擊手法也不斷在進步之中,因此企業在積極關注新型態攻擊模式之外,也應該回頭檢視公司原有防禦機制是否完善,才能讓各式資安設備發揮預期效果,降低機密資料被駭客竊取的機率。 為此,長期關注全球資安發展的資安人,特地在以「跨越挑戰、逐步落實」為主題的2015資安論壇中,特地邀請多位資安專家與會,除分享2015年資安發展新趨勢之外,更針對企業打造資禦架構策略、作法,提出許多寶貴建言與方向,以便有效降低駭客入侵的機率。
回顧近幾年資安事件頻傳的主要原因,在於惡意程式取得愈來愈方便,駭客甚至可以在地下經濟體系中,以低廉價格大量取得Facebook、Gmail帳號,以便能快速入侵企業取得各種商業機密,或者為下一波攻擊預先做好準備。尤其以往被視為高安全、難以入侵的POS設備,亦有駭客開發出專屬攻擊工具,因此如震驚全球的Target、Home Depot等事件,便分別有高達7000萬、6000萬筆資料被竊取,逐漸POS設備已成為駭客入侵連鎖商店的新目標。
趨勢科技台灣區技術行銷部技術顧問吳宗霖指出,綜觀2015年資安趨勢,首先是APT攻擊目標將會延伸到中小型企業,特別是專門與政府有合作關係的民間企業,其目的在於藉此為攻擊跳板,入侵防護等級較高的政府單位,以取得更為機密的資料。此外,在行動支付應用範圍逐漸擴大後,智慧型手機也會成為駭客攻擊重點,除寄望藉此且取更多商業機密外,也是入侵企業內部網路的最佳跳板。
大流量攻擊興起 台灣政府打造聯防架構
為了獲取龐大經濟利益,過去駭客攻擊目標總是以大型商業網站為主,但是在萬物連網時代來臨,部分駭客也開始將攻擊目標延伸到基礎網路中,除企圖達成特定政治目的之外,也寄望藉此能夠獲取更大的商業利益。因此,從近幾年政府機關發生的資安威脅事件中,可以發現資訊基礎設施遭受攻擊的頻率正逐漸攀升中,造成應用服務中斷的比例也持續增加中。
另一項值得關注的資安趨勢,則是駭客對特定網站或單位發動阻斷式攻擊的規模愈來愈大,光是2014年便至少有超過100起流量超過100Gbps以上的攻擊,儘管尚且沒有傳出重要資料被竊取的消息,但卻也順利達成讓許多政府網站被癱瘓的目的。
資策會資安科技研究所副所長劉培文指出,隨著行動裝置、雲端運算服務興起,不少網路犯罪者便利用上述兩種服務的弱點,大量竊取個人隱私資料,如銀行、信用卡資料等等,已嚴重影響電子商務與金融體系的正常運作。面對全球複雜多變的資通訊環境,以及日益嚴重的資通訊安全威脅,持續落實並精進各項資通訊安全防護工作,行政院國家資通安全會報早就研提「國家資通訊安全發展方案(102年至105年)」,供各機關現階段推動辦理資通訊安全防護計畫之重要依據。
行政院國家資通安全會報主要負責國家資通訊安全政策、通報應變機制、重大計畫之諮詢審議及跨部會資通訊安全事務之協調及督導,下設網際防護及網際犯罪偵防等兩大體系。尤其在行政院於2011年3月修正行政院國家資通安全會報設置要點後,更進一步成立行政院資通安全辦公室,期強化國家資安政策規劃、提升資安通報應變效率,及加速重大資安計畫推動。
勤業眾信資訊長暨風險管理顧問總經理萬幼筠說:「從現今駭客攻擊的規模跟方向可以發現,智慧型手機已經被駭客鎖定為下一階段的攻擊目標,尤其駭客已經從過去單打獨鬥,成為分工細膩的組織戰,所以政府單位勢必要善用聯防機制,才能有效降低駭客入侵機率。」
雲端安全備受關注 數位證據鑑識標準興起
隨著智慧型手機日漸普及,雲端運算服務已經深入所有消費者的生活之中,甚至成為企業拓展業務不可或缺的重要工具,美國國家標準技術研究院(National Institute of Standards andTechnology,NIST)也給雲端運算定義了五個關鍵特徵(EssentialCharacteristics)、三個服務模型(Service Models)、四個部署模型(Deployment Modles)。然而隨著雲端運算亦成為駭客入侵企業網路的工具,如何利用數位鑑識方法找出駭客入侵軌跡,就成為企業不可忽視的資安策略。
中華民國電腦稽核協會理事長林宜隆博士說,數位鑑識乃是鑑識科學的其中一個分支,主要在針對數位裝置中的內容進行調查與復原,這與電腦犯罪息息相關,是一門能夠幫忙解決資通安全事件或網路犯罪中數位證據難題的科學。簡單來說,數位鑑識是以周延的方法,透過完整程序保存、識別、抽取、記載,及解讀數位媒體證據與分析其成因之科學,因此建構一套雲端安全之數位證據鑑識標準作業程序(DEFSOP),就顯得非常重要。
值得注意的是,ISO 已於2013 年公布ISO/IEC27037 數位鑑識調查標準程序,而依其標準而進行雲端安全相關的鑑識工具的研發,是未來資安防護研究的重要方向,台灣產業若能在研發成功後申請成專利,其所能獲得的利益亦將是不可限量。
SGS國際驗證服務部雲端服務驗證方案全球產品經理何星翰說:「為加速企業引進公有雲速度,目前全球已經有兩種針對雲端服務設計的認證制度,其中CSA-STAR / OCF標準重資安,EuroCloud Star Audit(歐洲雲服務聯盟第三方星級驗證機制)則是強調雲服務SLA,而在市面上眾多檢驗機構中,SGS是為唯一具備兩種雲端驗證資格服務的第三方驗證機構。」
建構主動資訊安全防護機制 才可對抗駭客攻擊
從2014年發生的幾起重大資安事件,無論是Sony、Targe等,均已購買防火牆、網頁應用程式防火牆、入侵偵測等資安設備,仍然發生機密資料被駭客竊取的事件,足見要建置一套可確保公司安全的資安防護網,已經成為現今企業面臨的最大挑戰。
惠普科技資訊安全事業處北亞區技術總監蕭松瀛認為,面對新型態的攻擊行為,唯有仰賴可分析攻擊行為的主動資訊安全防禦機制,才能有效保護整體企業網路安全。
以向來最注重資訊安全的金融產業為例,在數位化、網路化及行動化趨勢的衝擊下,已經逐步進入Bank 3.0時代。但在逐步走以網路服務為主的Bank 3.0時代時,反而讓銀行成為駭客鎖定的首要攻擊對象,如美國便破獲專門入侵金融單位儲值金融卡資料庫的犯罪集團,光是兩次攻擊便造成金融業損失4500萬美元。
Palo Alto Networks 技術顧問林家笙指出,要瞭解駭客組織使用的攻擊手法,才能有效對抗駭客入侵。而Palo Alto Networks次世代防火牆之以能夠阻擋APT攻擊,便在於3個ID防護策略成功,才能夠有效防止惡意程式入侵,在攻擊行為發起之前先行阻斷。而且產品搭配多年前推出的WildFire服務,能利用雲端平台上的沙箱技術,監控與分析未知軟體的運行為與網路流量,再立即部署到次世代防火牆上,能達到阻斷駭客攻擊的目標。
光盾資訊科技資深經理葉怡芬解釋,APPS、網路、網路伺服器是構成網路金融交易的三大元件,只要其中一個環節沒有注意到,例如資料傳輸過程沒有採用加密機制,便可能給予駭客入侵的空間。因此,光盾科技不僅可提供APPS檢測服務,更能從整個網路交易環節進行分析與測試,也會以符合國際標準規範方式進行模擬攻擊,協助金融業者找出潛在的漏洞,並提供後續改進建議與方法。
內部防禦不可忽視 能防止機密資料被竊取
近來台灣企業會主動關注資安議題,積極引進各種資安設備,除未了避免發生營業機密被竊取之外,更在於要符合新版個人資料法的要求,因為在個資法第二十七條中,已明白規定非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。否則企業一旦發生個人資料外洩事件,在隱私意識抬頭下,權益受損的消費者勢必會向法院提出高額求償,除會面臨高額罰金之外,公司整體形象亦會受到負面衝擊。
SGS國際驗證服務部 經理曾蕙瑜說:「面對個資法帶來的衝擊,企業不妨從取得TPIPAS的個資標章驗證標準著手,「 因為該標章是依據個資法相關法令規範修訂完成,所以100%符合法規要求。而SGS則是2014年9月成為第一批核可外部驗證機構,已經有多位取得TPIPAS認證的個人資料驗證師,可協助企業完成TPIPAS驗證工作。」
一通科技產品經理黃榮鐘指出,過去企業都把資安防護重心放在外部網路防護上,但是從近來發生重大的資安事件可以得知,企業內部防禦也很重要。所以一通科技在引進AhnLab MDS APT設備之餘,也同步提供Nessus、VARONIS等產品,搭配主動式弱掃技術服務,能協助企業打造真正安全無虞的網路環境。