血的教訓(上) 國內重大資安事件十大啟示

2017 / 10 / 02

侍家驊

網際威脅在這兩、三年，帶給國內企業與單位明顯的威脅與損失。新的挑戰帶兩個衝擊: 防禦方式的改變，以及事件不易遮掩。無論是DDoS或是勒索，都造成服務中斷，完全無法遮掩。

趨勢科技自2012年開始，提供資安事件處理之服務，到目前為止服務超過175家企業及單位，《資安人》此次訪談趨勢科技的這個服務團隊，透過此服務團隊統整超過400個資安事件出事的原因，從過去的事件中歸納出十大啟示，希望大家日後能夠將這些慘痛教訓為借鏡，不再重蹈覆轍!

啟示一、面對網際威脅，資產風險評估應以資訊流為依據
以金融業為例，在評估重要資產時，多以營運不中斷為主要考量，於是在數位資產的評估中多以存有交易資料、客戶個資等主機為首要保護對象，但如AD server未存客戶資料及交易資料，常被歸為二類或三類資產。但是駭客攻入時，幾乎以AD Server為主要目標，一但攻陷就可到處插旗。所以應以資料流來判定系統的重要與否。新的觀念應該是以整個系統觀、以資料流來盤點資訊資產。

啟示二、現有資訊基礎架構，擋不住網際威脅
通常單位或企業，規劃資訊基礎架構時，幾乎都以好用、方便為主，通常沒有顧慮到安全因素。例如有些新創公司，常常網路架了就用，根本未依功能切割網路，以致攻破單點，馬上擴散到整個網域。求新求快的科技業，更是如何讓寶貝的研發人員好用為主要依據。整體安全規劃不足，結果就是單點淪陷，接著在短時間內全部淪陷。即使風險意識較高的金融業，雖然已有一定程度的網路區隔，但面臨新型態的網路威脅，仍須提升網路架構及區隔的嚴謹程度。

啟示三、網路縱深防禦不足
縱深防禦從早期的網路安全就在談，時至今日，仍然看到觀念與實踐之間存在執行上的鴻溝。政府受害早又深，這部分還好。民間企業一般還是著重在禦敵於外，重心放在閘道端，結果是，一被攻陷就可到處流竄。

除了內網與外網間，需要更精準的定義之外，即使是內網也該透過適當的網路區隔及內網行為監控來強化防禦機制，縱深防禦不足仍是常見的現象。過去防火牆設定大多是負面表列，應轉為正向表列，內部防火牆只讓允許的動作通過。

啟示四、無法掌握所掌管的資訊環境
企業常見網管人員異動頻繁，故常見拿不出完整且即時的網路拓樸圖，或是不知防火牆的規則為何如此設定、甚至因為是前輩設定的規則而不敢擅自改變。政府公單位一般人員較為穩定，系統架構較單純，這部分問題較少。但規模較大的銀行及高科技，系統複雜且職務分工較細，也造成交接困難。

追本溯源還是需從人力有效運用，落實工作交接，強化專職訓練，來改善現存的問題。如果無法具體明瞭現有資訊環境，就無法有效管理，這是一個知易行難的挑戰。

啟示五、小心謹慎使用特權帳號
網路管理者常因作業方便，過度使用高權限的特權帳號，一旦高權限的特權帳號使用來登入各式系統，無非增加駭客竊取特權帳號的可能性。殊不知目前隨手可得的開源的駭客工具，可以側錄明碼帳號及密碼。除了慎用特權帳號外，做好帳號區隔管理，賦予帳號適當的權限，也是需強化的觀念

下集：< 國內重大資安事件十大啟示>

網際威脅趨勢科技