2015年美國阿拉斯加州最大保險公司之一Premera Blue Cross,因遭到駭客入侵資訊系統,以至於發生大規模資料外洩事件,根據資安顧問事後調查指出,約有 1100 萬保險人的重要個人資料遭到竊取,包含保戶姓名、出生日期、社會安全號碼等等。儘管在完善的防護機制,都無法完全杜絕資安事件發生,但若能該業者能夠引進IBM Guardium服務,則能在事件發生第一時間察覺,將企業面臨傷害降到最低。
在獲取龐大經濟利益的前提下,駭客組織正積極透過多元攻擊手法入侵企業,只是多數業者似乎不知道資料外洩帶來的嚴重性,根據依照Institute所公布的資料外洩成本報告(Cost of Data Breach Study)指出,2015年度因網路犯罪而造成資料外洩所產生的成本高達379萬美金,較2014年成長近8%。此外,在IBM 2016年第一季IBM X-Force威脅情報季度報告中,指出2015年度受網路犯罪攻擊最嚴重的產業依序為資訊服務業、零售業、醫療保健、媒體與娛樂、金融業等,且網路犯罪手法與策略都會持續翻新,以便能夠達成滲透進入企業網路的目的。
在眾多攻擊手法中,又以APT、社交工程最令資安人員頭痛,由於惡意程式之間具備偽裝與合作的特性,不僅能夠躲過資安設備的檢測,且攻擊手法也會依照市場趨勢而不斷轉變,如2015年常見的釣魚程式多半以電子郵件寄送,近來則將觸角延伸到消費者慣用的Line、FB Messager之中,以便能夠將惡意程式植入行動裝置之中,作為入侵企業網路的跳板。
奇唯科技產品代理技術處技術處長李烜旭說,上述兩種攻擊行為雖然存在已久,但因均是以合法管道進入企業網路之中,因此至今多數資安設備仍然無法有效防防堵,成為資訊人員最擔心的攻擊手法。以社交攻擊為例,奇唯科技觀察到有駭客組織會以中文方式,假冒社群平台發送密碼修改為主題的釣魚郵件,誘騙使用者主動點閱信件內容,藉此趁機將木馬或惡意程式植入,達成竊取資料的最終目的。
駭客攻擊趨於細膩 導致重大資安事件頻傳
創立於1988年的奇唯科技,對於創新技術研究發展向來不遺餘力,目前主要業務以即時金融資訊整合及相關軟體、系統等開發為主,如交易所即時資訊、國際股(匯)市即時資訊、盤後資料庫、即時新聞、成交回報等訊整合等產品,服務對象均為國內金融相關行業及投資大眾為主。自政府開放合併及加入WTO 後,金融、投資環境丕變,因此奇唯科技致力於新金融商品及資訊多元化服務發展,對金融資訊的專業服務上,除提供更即時、更穩定的品質,以及更豐富、更正確的分析模組套裝軟體之外,亦積極資訊應用加值研發,以確保客戶能夠免於駭客攻擊的威脅。
李烜旭指出,以往駭客攻擊手法較為單調、直接,很容易被資安設備察覺,但是現在手法明顯變得更為細膩且精準。舉例而言,駭客組織過去在測試應用程式的管理者密碼時,可能會在短時間內連續嘗試登入多次,很容易引法資安設備關注與發送訊息警告系統管理員,但現在駭客常見到的做法,則會將測試登入時間間隔拉長,藉此規避應用程式的保護機制,但是從log檔案進行分析時,還是很容易找到此種異常連線行為,而這正是奇唯科技的專長。
另外,資安人員無法精準掌握個資與機密料存放的位置,也是大量資料外洩事件不斷發生的主因。所以在建構資安防護機制之前,個資盤點是最重要且不可輕忽的前置工作,唯有如此才能讓有限資安預算發揮最大效益,所以奇唯科技認為IBM Guardium 、IBM Qradar正是因應複雜攻擊行為的最佳工具。
專業服務結合IBM工具 有效降低駭客入侵
隨著多年前新版個人資料保護法實施之後,資訊人員莫不積極盤點公司內部的個資,避免因為一時疏忽而發生資料外洩事件,以至於侵害到消費者權益的窘境。然而市面上號稱可以資料庫稽核的工具,多半支援資料庫種類都極為有限,很難滿足企業實際營運過程中的需求,而IBM Guardium則支援各種結構化資料庫,以及非結構化Hadoop資料庫環境,預防機密資料外洩的事件發生。
李烜旭認為,企業要減少資料外洩事件發生機率,資安人員則需要落實帳號管理、IP位址與設備之間的存取管理,才能在發生資安事件的第一時間,快速找到外洩管道與採取對應措施。而IBM Guardium不僅能夠完整監控機敏資料存放位置,還能夠分析帳號存取資料的狀況、使用IP位址為何,並且能夠透過完整圖表呈現方式,讓管理者快速一目了然,以便針對現有缺失定修改策略。
至於IBM QRadar平台是結合日誌分析、漏洞管理與掃瞄、資料外洩鑑識的功能,可完整透過收集來自防火牆、虛擬私有網路、入侵偵測系統、入侵防護系統等發生的安全性事件,以及身分識別和存取管理產品及漏洞掃描器的內容資料、應用程式的各種日誌,並且將資料整併成為可管理的攻擊事件清單,作為資安人員對抗駭客攻擊的參考。