2011年11月29日 星期二

雲端時代關鍵挑戰 網路架構與安全管理


許多企業管理階層針對資安問題,常常都會有疑問:為何花了一堆錢買了資安設備,但資安事件還是發生了?為何都已經通過ISO 27001資安認證,還是發生了資料外洩?網駭科技總經理暨駭客年會創辦人徐千洋指出,針對資安問題,首先要先建立正確的觀念,做好資安管理,可以降低被攻擊的事件次數,但不可能降到零,換句話說,「任何資安投資都只是降低風險,表示還是有風險。」

杜絕風險難度日益提高

徐千洋(網駭科技總經理 暨 駭客年會創辦人)解釋,企業上網等應用,已是非常重要的基礎建設,但連上網路雖然可以吸引全球來自四面八方的瀏覽者,但也一定會吸引敵人,所以企業才需要購買防火牆等資安設備,以阻絕駭客入侵。但是駭客也會進化,設法提升技術,於是企業只能不斷購買設備,重組架構,想要完全杜絕風險的難度自然提高。

企業面對的資安威脅,已經不再是新聞或好萊塢電影描述:一群因為好奇、孤僻、展現功力或一時好玩的學生駭客,徐千洋表示,取而代之的是一群來自四面八方、具專業性、長期具耐心、為數眾多的組織型駭客,企業IT面對資安威脅,只會愈來愈嚴重。

以能夠投入資安的時間為例,徐千洋指出,企業IT主管往往需要面對各種雜事,面對資安事件,通常只能仰賴系統提示,如通知發生資安事件,或是透過燈號了解是否有意外事件,很難24小時不斷保持注意力,但是駭客卻可以專注於如何攻擊,嘗試用各種不同的方式,繞過企業設下的層層防禦,兩者的專注程度,相差不可以道里計。

組織型駭客的威脅日增

更可怕的是,相較於技術型駭客可能只是展示技術,徐千洋認為,組織型駭客的目的,通常都是為了錢;駭客利用木馬程式盜取QQ、網路遊戲、銀行帳號、信用卡帳號等個人資料,並從中牟取金錢利益的經濟活動,網路地下經濟已經成形,更增加組織型駭客攻擊企業的動機。

此外,現在的駭客取得技術的管道很多,加上網際網路的黑色產業鏈已經形成,徐千洋指出,除了很多人認定的中國,歐洲地區(尤其是俄羅斯)更是黑色企業的集中地,也讓駭客進入黑色企業的可能性隨之變高。

從實際案例看資安威脅

而在實際的案例中,更可看出企業面對的資安挑戰日益嚴峻。徐千洋以某軟體業為例,就曾碰到三台系統開發伺服器被入侵、員工帳號也被竊,後來才發現是因為一位研發主管到大陸出差時,使用的筆記型電腦被入侵,當這位主管透過VPN連回公司時,造成入侵事件,只能重灌伺服器、更換所有員工帳號密碼、強化密碼強度,但開發軟體原始碼可能都已外洩。

而在另一家人數約200人的傳統產業,則發現郵件伺服器被入侵,疑似有商業機密外洩,後來發現有6名高階主管的電腦被植入木馬(鍵盤側錄),也必須更換郵件伺服器,及所有員工的帳號密碼,並強化密碼強度。但徐千洋表示,要清除遭木馬入侵的員工電腦時,卻碰到阻礙,因為這6位主管會用各種理由拖延(出差、有重要會議),IT部門花了很多時間去做溝通。

事實上歷史比較悠久的公司都有類似的困難,只要資深員工配合度不夠高,公司又沒有制定資安政策,多年來也沒有添購資安設備,資安事件就很難杜絕。

徐千洋又以某家金融業入口網站被三批大陸駭客入侵為例,網站應用程式被修改,植入多種後門指令,導致該金融網路服務的使用者,有18個用戶遭植入木馬。該金融業入口網站居然沒有任何備份及備援機制,因此在發現以後,該金融業隨即讓入口網站即時下線,並通知用戶更改網路銀行密碼,並緊急購買600萬元的網頁應用程式防火牆、增加備援及開發伺服器,但也因為之前沒買,所以花了好幾天才讓入口網站恢復運作。

無知與自私才是最大威脅

徐千洋感慨的說,由前述案例可以看出,沒有資安事件就沒有經費,因為要等發生資安事件,足以影響到管理階層,或是業務或商業機密外洩,企業管理階層才會去重視

因此,徐千洋認為,管理階層如果不了解資安威脅帶來的危害及損失,或是不認為會影響自身權利或利益,才是企業資安最大的威脅。管理階層一定要有所認知,任何資安事件對企業造成的形象及有形損失,都是難以估計,領導階層應將資安投資與企業獲利視為經營目標,對所有員工做定期教育訓練,才不會碰到資安事件時,會不知所措。

引用自《科技商情

沒有留言:

張貼留言