2015即將到尾聲,製造業景氣也似乎將由谷底回升,然而製造業卻面臨著內憂外患的資安威脅。外有APT埋伏、內有離職員工竊取機密資料的威脅,不僅如此許多製造業的資安防禦思維仍停留在單點問題解決,缺乏全面性,這樣的資安架構恐怕在講求速度、行動化,甚至製造服務業時代來臨時難以滿足營運所需。
2016 六大資安防禦重點
在2015第四季IBM X-Force威脅情報季度報告中指出,企業正面臨嚴峻的內、外威脅。首先,多層次的攻擊事件正逐漸增加中。IBM從受害案例中發現,駭客攻擊夾雜2種層次,企業會先發現菜鳥駭客所造成的攻擊事件,此類事件會觸發資安設備,可被資安設備成功攔阻,當企業誤以為攻擊事件已清除時,其實從同一漏洞進來的還有高手駭客,高手駭客早已靜悄悄地潛伏企業網路,並從旁邊擴散、隱藏起來,企業若沒有進行深層的事故調查與根本原因(root cause)分析,將難以發現潛藏的攻擊事件,也就無法盡早阻止資料外洩。
此外,惡意的內部員工也成為攻擊來源。尤其是有系統管理員權限的離職前員工,在個人帳戶被停止後卻因為系統管理者採用共用帳密,於是再度由外部連線回前公司內網進行惡意行為。或者某些跳槽者在離職前,預先在系統安裝後門程式,例如LogMeIn或Team Viewer,此類工具只建立對外連線,很少被監控到或被防火牆阻擋,因而也對企業造成不小為害。
對此,IBM全球資訊科技服務事業部資深顧問蔡均璋表示,企業應強化以下6個資安防禦重點:
1.回歸資安基本面,定期安裝修補程式。
從許多攻擊事件來看,都是因為系統存在漏洞未修補,才讓駭客有機可乘。然而這樣的資安基本功許多企業仍然未能落實,因此企業務必定期安裝修補程式並進行弱點管理。
2.進行完整的事件搜集,建立「內部SOC」
企業若平常沒有進行日誌搜集並做關聯分析,將無法發現前面所述潛藏在企業內網的內外威脅。蔡均璋也指出,雖然部分企業有採購資安監控服務並內含事件回應(IR),但礙於價格往往此類服務只能定期提供報表,報表雖顯示Top 10攻擊來源、事件類型或流量等資訊,但若未能據此進一步進行深層調查,仍然無法發現前述多層次的進階攻擊事件。
3.使用者資安意識訓練
政府單位或金融、醫療業受到主管機關要求,較常進行社交工程演練,使用者的資安意識較高,但在製造業就很少進行此類教育訓練。培養使用者良好資安意識,仍然是對付資安威脅的一項好投資。
4.特權帳號管理
蔡均璋指出,即使是在金字塔頂端的大型企業也尚未確實做好職權區分(Separation of duty),或特權帳號的管理不夠紮實。例如大型企業的系統管理者往往不只一人,但卻使用共同的系統管理者帳號密碼,若有一人離職可能就會造成安全缺口。或是中小型製造業為了維護方便,大開系統最高權限給維護廠商人員,都是常見的疏失。此外還需注意帳號的生命週期管理,若有員工離職,HR系統需與其他系統連動以刪除帳號。
5.備份復原機制
2015年也是勒索軟體最多的一年,但許多企業的備份工作卻不夠完善,或即使有做備份,卻沒有進行復原測試。
6.進行事件稽核記錄
企業可透過日誌管理(Log management)或資安事件管理系統(SIEM)針對應用系統進行事件稽核記錄。或與專業服務廠商合作,由專家協助日誌的判讀,以及早發現可疑行為。
以關鍵資產為核心的資安架構
參與過許多企業資安規畫專案,蔡均璋指出許多企業資安做不好是因為缺乏一個系統性的資安架構,當企業出現某資安需求時,就僅在單點解決單一問題,以產品角度規劃資安架構,如此容易造成投資的浪費。蔡均璋建議企業應以關鍵資產為核心,了解真正要保護的是甚麼,據此擬出資安投資的優先順序。
以BYOD為例,企業若沒有一套全面性的資安架構,當有新的裝置要進入內網時,就重新提出管理辦法,如此一來可能會在端點裝置上做過多管制,讓使用者失去BYOD的便利性。反之,企業應以資料為中心,把關鍵資產保護好,不需將防禦全仰賴端點裝置。有了清楚的資安架構,便會明白有新裝置加入時該在哪裡佈署安控措施。有完善的資安架構,製造業便能在有限預算內,有效抵禦內外攻擊。