2011年11月29日 星期二

對抗外部攻擊 防止資訊外洩 企業資安挑戰大


有關資安的事件層出不窮,相關新聞報導不斷,目前常見的資安威脅種類繁多,包括網頁安全、資料外洩、P2P軟體、釣魚式垃圾郵件、即時通訊等,甚至影音檔案都可能含有惡意程式連結或程式碼,可以說是防不勝防。

對企業而言,資訊安全威脅不但可能造成資料外洩,導致商業機密流出,影響企業競爭力,還可能造成商譽受損,或衍生交易糾紛,影響企業運作。

但從許多實際發生的資安案例中,卻可看出,企業管理階層對資安威脅帶來的危害及損失,往往不夠了解,或是不認為會影響自身權利或利益,為了達成企業/組織的營運目的,為股東、員工及客戶創造最大利益,領導階層應將資安投資與企業獲利視為經營目標。

企業資安日論壇參與踴躍,聆聽各方解決方案,了解如何對抗來自內外的各種資安威脅。
對抗外部攻擊 企業資安要做好基本功

企業面對的資安威脅日益嚴重,以來自外部的攻擊為例,企業現在面對的駭客,已經不再是新聞或好萊塢電影描述的,一群因為好奇、孤僻、展現功力或一時好玩的學生駭客,而是一群來自四面八方、具專業性、長期具耐心、為數眾多的組織型駭客,而且因為網際網路的黑色產業鏈已經形成,駭客可以利用木馬程式盜取QQ、網路遊戲、銀行帳號、信用卡帳號等個人資料,並從中牟取金錢利益,更增加組織型駭客攻擊企業的動機。

面對持續不斷的資安威脅,企業應從最基本的資安檢測做起,以了解當前資訊環境的弱點,並加以補強,從評估、檢測、報告、修補到追蹤,各個環節都要落實,做好基本功之後,才能更有效的執行其他安全防護機制。

如許多主管喜歡透過監視器,查看員工是否專心上班,但在網路上卻可以很輕易的找到某些監視系統的安裝使用手冊,裡面甚至包含預設密碼,如果企業疏忽密碼管理,駭客就可以很容易的坐在電腦前,透過畫面竊取資料。

甚至有企業入口網站在遭入侵後,才發現沒有任何備份及備援機制,導致在重建過程中,花了好幾天才讓入口網站恢復運作,不但影響企業運作,更造成客戶的不便,對企業商譽更帶來難以估計的損失。

因此,企業應該要建立縱深防禦的概念,部署一層層不同的保護措施,如此一來,就不必擔心一旦某防禦機制被突破,便讓入侵者長驅直入、直搗企業核心。無論管理、資料、網站、系統、網路,各個面向都應全部納入安全考量,而且入侵防護系統(Intrusion Prevention System;IPS)、入侵偵測系統(Intrusion Detection System;IDS)、防火牆、身分認證、網路存取控制(Network Access Control;NAC)……等安全防護機制,亦不可或缺。

防止資料外洩 管控措施要落實

但由於不管設下多麼嚴密的防禦,都只能降低資安風險發生的可能,資料外洩的可能性無法降到零,加上個資法修正後,企業必須承擔更大的資料外洩責任。事實上,來自內部人員的資安威脅,其實要遠大於外部人員。根據美國CSI/FBI的調查,內部洩密對大企業造成的損失,每年平均為270萬美元,而外部攻擊平均為5萬7千美元,差距近50倍,也顯示出內部洩密造成的損害,遠大於外部攻擊。

為了讓資料即使外洩,都不會造成企業損失,或承擔法律責任,未來有關資料加密的技術,勢必將成為資安管理非常重要的環節。如利用目前已廣泛用於影片、音樂、遊戲、電子書等產品的DRM技術,也可以用於文件控管,讓企業資訊可以在對的時間,讓對的人分享,即使外洩,取得資料的人也無法使用,使用者無論是內部員工、出差、外派人員,或是委外及合作協力廠商,機密文件皆能受到最好的保護。

此外,如何確認存取資料的人是誰?如何確保資料在保存或傳輸中,不被第三者偷窺或竊取?如何確保資料完整、正確、未被竄改?如何確認資料來源,並避免使用者在事後否認曾交換資料?也都是資安管理非常重要的課題。

為確保資料安全,企業的基本資安需求包括:身分識別(Authentication)、資料保密性(Confidentiality)、資料完整性(Integrity)與不可否認性(Non-Repudiation),而這些需求,只要透過可提供數位資訊傳遞安全服務,如簽章、加密等相關應用的PKI,就能獲得滿足。

此外,帳號與權限管理,以及稽核與日誌管理,也都是防止內部洩密的重要管理策略。如帳號與權限管理要按規則做到自動化,人員只要更換部門,帳號權限就會自動改變,以避免特權帳號氾濫。即使是受信任的管理者,也不能長時間使用特權帳號,以免帶來資料外洩的風險。

而由於風險難以杜絕,企業更要做好稽核與日誌管理,才能找出需要修改的地方,讓風險發生的可能性降至最低。企業不能只是注意外患,也要做好內部控管的工作,才能滿足法規上的要求,並同時防護即時的新型攻擊,

提昇資安意識 有效落實資安管理

但資安問題的核心關鍵,還是在於許多相關單位沒有資安意識,如企業高層對於資安的認知不足,法規也落後新進國家太多,以至於企業可以規避責任問題。使用者也必須提高危機意識,建立正確的資安觀念,企業必須積極針對員工,進行資安認知教育訓練。

事實上,雖然大部分的人都了解資料保護的重要性,但還是有很高比率的員工,會將被規範的客戶資料及機密性的公司資料帶出辦公室,而且就在外工作的員工而言,使用方便性的考量遠大於資料隱密性。

因此,公司的資安政策一定要明確,管控措施一定要周全,針對雲端技術、行動工作者等日新月異的工作環境變化,企業一定要好好思考,如何在不影響企業與員工的運行習慣下,透過適當的資安投資,兼顧降低風險及企業營運目標,以追求企業運作的最高效益。

引用自《科技商情

沒有留言:

張貼留言