台灣過去曾經有個案例,一家公司的網管人員,發現公司內有某一台工作站會固定對外傳送資料出去,雖然傳送的資料是微量的資料,且都符合公司的政策,但是資料傳出的時間太敏感,多半發生於半夜兩、三點,然而這家公司非二十四小時營業的企業,結果經過再仔細一查,才發現這一台工作站,中了後門程式。不但如此,這個部門有三分之二都受到感染,只是其他電腦傳送的時間是正常上班時間,被忽略掉,沒有被察覺出來。
另一個案例是發生在國內某家銀行金融機構的同仁身上,因為網路上傳下載太多的影片,導致整個硬碟空間不足外,甚至連防毒軟體都無法更新,以致最後遭受到病毒的感染,讓全公司在營業時間網路沒有辦法正常運作引起嚴重的客訴狀況。
上述這兩個例子,我們可以再次的觀察到,其實所謂的資安議題,絕大多數都是來自於內部。不正當的授權,取得較高的使用權限,或是在不適當的時間、地點,傳送不當的資料,或是為了貪圖方便使用,大量開放遠端電腦連線,這些其實都是來自於內部的威脅。這幾年大家一直在強調的社交工程演練,或是一般的資訊安全意識訓練,其目的就是為了杜絕來自內部的傷害。
然而這些來自於內部的威脅,往往也很難被發現,因為人為的因素,要在單位中主動發現這些問題,並且落實壞人的角色,這對於很多人來說是不願意去扮演這樣的角色。還有一個原因,則是大家的心態依舊建立在資安的威脅大部份來自於外部,尚未意識內部的威脅重要性。同時這些內部的威脅,會隨著企業內部組織的大小而影響到行為模式,經常有許多的記錄,不見得記錄後被呈現出來,而是要有專人去注意這些異常情況的發生,大家就會開始覺得,我花那麼多時間去找到這些威脅,但是高階主管不一定認同他們的重要性,對於他們來說,還不如去做一些外部可以看的改善,說不定這樣,到了年底檢視績效績效還比較好看些,因此這些內部威脅的事件處理與防禦,也往往成為資安或是網管人員心中最不願意去提及的部分。
原則上,要發現這些內部威脅,除了前面提到的,要有方法能夠把單位內各個電腦、網路設備的記錄全部加以保存起來,同時這些保存的記錄,還要能夠加以分析或整理,才能夠找到這些異常事件的來源,並且能夠針對所發現的狀況,確實找出問題的所在,才能真正的對症下藥,提出對應的解決方案。但是光是要記錄這些設備的活動,那就是一件很大的工程。這些紀錄還要能夠加以整理,並且有專人處理,就如前面所提,如果沒有適當的工具,單純利用人工的方式來處理,到後來一定就只是做表面工夫。
除此之外,如果還有人為惡意的破壞,這些徵兆絕對不是一次到位,一定平常有很多些微的蛛絲馬跡,但只是我們都忽略了。因此資訊安全,絕對不是只有架設防火牆、安裝防毒軟體,採購熱門的資安相關設備就以為完事,有保障了。真是這樣嗎?
【IBM資訊安全事業部 錦囊袋】
對抗內部威脅 有效保護企業安全
在各類資安事件層出不窮的當下,多數企業都把防禦重心放在外部攻擊的防護上。然而根據研究告指出,在企業邊界防護能力持續強化的今日,駭客組織正持續發送垃圾郵件、釣魚程式等方式,將惡意程式植入用戶端電腦中,進而在資安人員不知情狀況下,達成竊取重要商業機密的目標。換句話說,企業面臨攻擊事件泰半源自於公司內部威脅,原因可能為不正當的授權,讓特定員工取得較高的使用權限,又或者或是在不適當的時間、地點,傳送不當的資料,或是為了貪圖方便使用,大量開放遠端電腦連線等等。
IBM資訊安全事業部協理金天威建議,在駭客攻擊手法持續翻新、法規要求力道亦同步加強時,企業資安防禦策略必須與時俱進,才能對抗看來自四面八方的威脅。IBM為協助企業建立資安關鍵的預防、偵測、回應能力,獨家提出「安全免疫系統」架構,即是以IBM QRadar為核心,統一整合來自端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,建置一套具備執行巨量資料分析的資安智慧平台。而該平台分析得出的資料,可提供網路、使用者、資料庫,乃至於應用程式等使用,並依據風險等級排列事件處理的優先順序,協助助資安人員採取最有效的回應策略,達成提升企業安全等級的目的。 更多資訊,請造訪www.ibm.com/tw
相關文章請造訪<[資安小錦囊] 資安計畫怎麼訂?>