別讓20年企業信譽，毀在5分鐘的資安事件

2017 / 01 / 23

IBM 資安團隊

回顧2015年7月，美國人事管理局(OPM)局長Katherine Archuleta請辭獲准，只因OPM不只一次慘遭駭客侵襲，導致逾2,000萬筆民眾個資、逾400萬筆聯邦公務員資料先後失竊。

在Katherine Archuleta黯然去職的同時，美國科技媒體InformationWeek特別刊載一則報導，洋洋灑灑列舉過往曾經發生的14起資安事件。這些事件與OPM相似，除了身為苦主的企業或組織，不論在營運、財務乃至聲譽等方面，都付出慘重代價，也連帶造成CEO或高階主管謝罪下台。

綜觀這14起案例，其中最受矚目的，無疑是著名的零售商Target，共計超過1.1億筆客戶個資外洩，連帶引發一連串信用卡、簽帳卡盜刷事故。因而造成發卡銀行、信用組織與消費者紛紛提出訴訟求償，讓Target揹負巨大賠償損失，更嚴重衝擊大批顧客的消費信心，最終迫使時任Target總裁兼執行長的Gregg Steinhafel下台一鞠躬。

看到這樁悲慘案例，想必讓不少CEO頓時警覺，同時也不禁為Gregg Steinhafel叫屈。因為Target之所以落難，實為駭客處心積慮發動針對性攻擊所致，明明是受害者卻淪為人人喊打的對象，何其無辜？然而事實上，Target確實有所疏失以致釀禍，值得所有企業機構深自警惕。

便宜行事是最大禍首
細數Target犯的錯，首先是未妥善評估協力廠商的防禦機制健全與否，導致駭客可從供應商下手，取得與Target供應商平台連通的帳密後，再輾轉潛入Target內部系統。其次，將資安重任託付予非資安專業的IT人員，加上缺乏足夠的時間與警覺性，以致未能適時針對一些關鍵的安全警訊進行處置。最後，也最重要的是，Target與PCI DSS稽核單位都犯了「便宜行事」的毛病，Target並未詳盡揭露網路安全措施等相關資訊，也無意支付高額費用進行徹底檢測；加上稽核單位採取不甚嚴謹的檢核表勾選作法，使得若干安全風險與弱點持續存在，也讓駭客有機可乘。

事實上，除了Target外，許多受難的企業機構都存在便宜行事心態，長期未能落實本該執行的SOP，因而釀成大禍。譬如美國南卡羅萊納州稅務局，員工竟能在上班期間閱讀色情郵件、點擊內嵌連結，因而觸發惡意程式導致入侵。使駭客能進入政府財稅系統及資料庫，進而發現裡頭有大量未加密的社會安全碼、納稅申報單複本等「金礦」，最後輕鬆搜括而去。試想，倘若該局平時就做好資安意識的教育訓練、員工上網行為管控，乃至嚴格實施資料加密措施，必然不會讓駭客輕易得逞。

別讓資安流於表面工夫
事實上，因為資安事件而導致高層主管下台之例所在多有，絕不僅止有InformationWeek彙整的這14件。例如曾有一家提供程式碼代管服務的公司，由於在公有雲平台的帳號及密碼遭駭客竊取，加上未配合駭客的勒索要求，導致儲存在公有雲的客戶資料悉數遭到刪除，使該公司完全無法繼續營運，最終不只CEO失業，連公司都關門大吉。

綜觀這些事件，不難看出他們都具備一些共通特質。這些經由長期形成的積習，一點一滴匯聚成為資安盲點，但CEO、CIO與基層員工卻身陷其中而不知，終至釀成不可收拾局面。

首先，高層主管個個擅於精打細算，總認為花錢建立專業資安團隊難以看出實質效益。但所謂術業有專攻，即使懂系統、網路、資料庫，甚至會寫程式的專業人才，也不見得具備資安專業，且IT人員原本工作份量已十分繁重，更不可能時時刻刻緊盯日誌檔案(Log)，而在事前發現出潛在的資安風險。換言之，企業讓IT人員兼做資安工作，這個從成本考量上看似合理的安排，無疑陷入「費用數字」的迷思，反倒削弱自身的安全防禦能力。

其次，社群網路、雲端服務等資訊科技的創新應用不斷出現，企業急欲推動IT轉型，但防禦思維未能與時俱進，因此在新舊磨合期間常出現諸多資安破口，讓駭客或內賊有機可乘。

常見的情況是，企業普遍沿襲過去行之有年的防護手法，期望藉由部署防火牆、入侵防禦系統(IPS)與其他監控軟體，在內外網路交界處設置重重關卡，讓駭客不得其門而入。但在此同時，企業運用諸如雲端服務、線上交易、物聯網(IoT)、社交媒體等數位科技的頻率卻日益提高，每個環節都像是開啟一道捷徑，使駭客根本無需行經企業網路大門，便可輕易登堂入室；另外也讓蓄意作惡的內鬼或即將離職員工，有機會循著雲端服務或社交網站等途徑，輕鬆將公司機密夾帶出境，未留下絲毫足跡，讓IT管理者防不勝防。

再者，CEO在「安全」、「營收」的取捨過程中，往往選擇捨棄或擱置安全，因而造成資安的漏洞。明顯的例子像是系統更新，CEO考量到安裝修補程式(Patch)，將導致重要營運服務必須隨之暫停，連帶出現營收空窗期。所以常在影響營收的考量下，無奈做出暫緩更新、或延至假日再更新之決定；影響所及，相關系統漏洞存在於公司內部的時間就會因而延長，如此一來，駭客便能好整以暇展開入侵行動。

最後，許多企業並非不具備資安意識，甚至積極導入一些有關於資訊安全風險管理的標準規範。總以為照章辦事便能高枕無憂，殊不知誤將資安當做「Check Box」的結果，就是流於表面的紙上作業而心安理得。只要有報表，便深信內部員工與外部夥伴皆嚴格遵循安全規定，造成相關人員僅憑藉漂亮報表虛應故事，使得企業自家的防禦工事無論做得多麼好，都將徒留資安缺口，為日後埋下不定時炸彈。

資安專業才是關鍵
即使企業陷入前述種種迷思，但只要CEO能及時修正，積極採取一些改善措施來彌補這些缺陷，都還為時未晚，來得及拆卸風險引信。

究竟如何做，才能逐步導正過往積弊？首先CEO必須貫徹「尊重資安」的決心與魄力。從最基本的人員編制上著手，不再採取IT兼做資安的方式，而是親自統籌建立專業資安團隊，讓資安防禦真正成為公司營運管理的重要一環。這個團隊必須擁有充裕的資源，且具備扎實專業能力，足以做到24 x 7 x 365全年無休監控組織內部的安全狀態及風險，且在必要之時，能迅速採取控制風險的相關措施。

如果CEO覺得難以招攬或留任足夠專業人才，或認為自建資安團隊所費不貲、又無法彰顯投資效益的話，不妨善用資安監控中心(Security Operation Center；SOC)的專業人力資源，作為資安團隊的延伸戰力，藉此解決徵才不易、ROI不顯著等問題，以建立全天候資安監控管理之能量。

像現今已有業者提供深具人工智能的資安管理平台，可透過先進的安全分析技術、大數據及自動化作業，獲取對組織安全態勢的深度洞察。繼而搭配豐富即時的全球威脅情資，甚至運用近年崛起的安全感知技術，經由安全專家系統的深入洞見與分析，來協助企業拉近防護與攻擊雙方的技術落差；也提供專業的人力與流程，讓企業得以減少人力配置、降低成本支出，從而削減執行作業的負擔，專注投入本業的創新研發，堪稱一舉數得。

善用智慧分析技術
其次，CEO應體認到「過時的防禦手段不足以自保」。為了確保企業IT轉型過程安全平順，應考慮引進更先進的防護技術，使企業不僅能掌控網路進出流量，也可牢牢掌握使用者行為，透過更多線索及早挖掘潛藏的安全風險徵兆。譬如企業不妨善用「認知資安」(Cognitive Security)技術，作為隨侍在側的「智慧分析師」，讓它藉由大量學習不斷提升威脅智能。具體上，企業可選擇佈建支援認知資安技術的資安事件管理平台(Security Information and Event Management；SIEM)，此後資安管理人員當對特定的文字、圖片、聲音、網址，甚至是由電子郵件觸發的執行檔深感懷疑，卻又無從判斷是否有害時，都可藉助系統來還原真相。

一旦借助認知安全技術，不僅讓伺機潛伏、擴散的駭客無所遁形，也能分析每位員工的「風險係數」，以便於公司進行事前的風險控管。譬如當SIEM系統察覺某員工於近期頻繁透過公司內部傳訊軟體跟郵件傳達負面情緒和敏感資料時，此時系統便合理認定該員工的風險係數升高，隨即追溯其過去到現在散播的言論內容，從中剖析是否有傳送公司機密的可能，在必要時聯合其他資安系統進行攔阻，以防範可能的內賊洩密行徑。

資安是不可妥協的原則
CEO須謹記「莫因追求眼前短暫收益，坐視長期資安體質的崩壞」。凡事嚴守紀律，修補程式該上就上，縱使短暫停止服務、有限度犧牲收益，也在所不惜。唯有徹底拋棄天真僥倖之心態，全力做好準備、才能使自身遭受攻擊的機率降到最低。更要小心的是，從延後一週補、延後半個月補，到最後甚至不補，一味追求短利，甘願延緩修補更新的妥協做法，會讓企業在不知不覺間養成對資訊安全的輕忽態度，不管對於長遠的企業經營、或CEO個人職涯發展，都將埋下深不可測變數。

附帶一提，CEO必須嚴守「資安之前、人人平等」之真理，企業當中任何人、包括他自己，皆應嚴格遵循安全政策，絕不從事不被允許的高風險行為，任誰都沒有特權。否則只要有一人脫離控制範圍，哪怕僅是暫時、小幅度的脫離，都等於為駭客、內賊開啟後門，讓他們得以乘隙潛入或潛出，可謂後患無窮。

企業與外部夥伴進行協同作業時，CEO應抱持著不管是自己、還是夥伴，都可能有心或無意犯下若干資安疏失的準備。除了應按照標準SOP，要求對方必須照章行事，且呈交詳細報表，也可定期委託第三方專業機構定期執行滲透測試，為所有作業環節進行通盤體檢。

最後再強調「安全絕非勾選查檢表這麼簡單」。CEO應體認到所有標準規範只是基準點，企業必須做到的理應遠高於這些基準，而且不管通過任何認證，皆應視為資安防禦工程的起始、而非結束，絕不能只因為做好書面作業、在認證中取得高分，便掉以輕心。唯有透過此一正向循環，才能避免出現任何一根壓垮駱駝的稻草，衝擊企業累積多年的營運基業。

更多相關資訊，歡迎下載 2016 CISO Study 打造高階主管的網路安全思維