2012年8月13日 星期一

目標攻擊、行動裝置、新版個資法

目標攻擊、行動裝置、新版個資法

在現今雲端服務盛行的時代,透過網路提供各種服務,已是企業不可或缺的選項。所衍生的各類資訊防護議題,也因此應運而生。由於各種透過網路進行的攻擊,比過去來得更加嚴重,加上行動裝置盛行、新版個資法即將施行,都讓網路安全防護的挑戰,遠比過去更加嚴峻。

目標式攻擊有明顯增加趨勢

所有提供資安服務的業者,不約而同的指出,透過精心設計的目標式攻擊以及社群媒體詐騙的網路犯罪正急速攀升。隨著目標攻擊手法愈來愈精密,駭客的攻擊目標也延伸至商業、國家關鍵基礎設施和軍事單位。2011年陸續發生RSA、Lockheed Martin以及亞太經濟合作會議(APEC)等資安事件。以荷蘭Diginotar公司為例,其偵測到一種假冒Google, Yahoo、Facebook、 CIA、British MI6以及Israeli Mossad等知名網域,大量散播數位憑證的詐騙。


雲端服務盛行,透過網路提供各種服務已是企業不可或缺的選項。各類資訊防護議題也因此應運而生。各種透過網路進行的攻擊,比過去來得更加嚴重,加上行動裝置盛行、新版個資法即將施行,都讓網路安全防護的挑戰,遠比過去更加嚴峻。

這些目標式攻擊的主要目的,在於竊取數位憑證或假冒數位憑證。數位憑證原來是廠商在使用者下載應用軟體時用於確認其身分。一旦網路罪犯取得數位憑證,就可藉此簽署合法公司憑證,進而誘騙使用者下載其程式,更加容易的散播惡意程式。

更重要的是,由於成功率高,網路攻擊工具套件(web exploits toolkits)變得相當熱門。這些這些「套裝式」攻擊架構,往往可在網路上交易或販售,讓更多的駭客得以入侵企業IT系統,竊取機密資料。

值得注意的是,雖然擁有2,500名員工以上的大型企業仍是主要的攻擊目標,但賽門鐵克發現,由於中型企業在網路資安的投資,遠遠不如大型企業,已經成為駭客組織鎖定的目標。今年上半年所有目標式攻擊事件中,有36%是針對人員人數低於250名的企業,比起去年底的18%,顯然有明顯增加的趨勢。

行動裝置資安防護應加強

除了直接攻擊企業網站外,隨著手持智慧裝置日漸風行,愈來愈多的企業計畫導入更多的智慧型手機或平板電腦,以提升員工生產力及競爭力,也讓駭客開始鎖定資安防護相對比較缺乏的行動裝置進行攻擊。

根據資安實驗室Websense(Websense Security Labs)發布的2012網路資安預測報告,隨著社交網站受歡迎程度大幅飆漲,以及行動裝置使用率的急速攀升,惡意攻擊將可藉由「社交好友」為為發動混合式攻擊的主要途徑。若輔以現今便利的行動定位服務,將可發展出極具針對性的地理定位社交工程攻擊,讓受害程度更難以估算。

此外,由於員工攜帶自有裝置(Bring Your Own Device;BYOD)的佈署方式,因為可以滿足員工個人的使用習慣,也可減輕企業採購的困擾,因而成為許多企業採購智慧手持裝置的解決方案,但也因此讓企業更難掌握員工的網路行為。

因此,企業所面對的,已不僅是外在侵入性攻擊,內部員工也可能會帶來不知名的資安危機。以往的網路安全防護,不再能滿足個資法所強調的個人資料控管,企業該採取什麼行動?而BYOD行動裝置的普及,讓行動裝置與員工電腦使用行為管理更為重要,在企業有限的資源下,如何才能有效做到員工行為管理,防止機密檔案外洩,保護企業本身安全?

新版個資法上路 企業宜有所因應

由於網路資安技術日趨複雜,法規遵規要求日益嚴苛,如新版個資法最快可能會在今年10月施行,資料威脅與外洩已經成為企業的大挑戰。企業勢必要比過去更加重視網路資安,才能夠杜絕更嚴重的威脅及後遺症。

由於新版個資法在適用行業別、保護範圍、企業的行為規範、企業的行政監督與責任、民眾參與及賠償刑罰等面向,保護範圍更為廣泛,進而提升企業資安防護意識與投資程度,以避免當資安事件發生時,需面臨到的賠償或刑罰責任。其中又以賠償責任從2,000萬元上限提升至2億元,刑罰責任從2年以下有期徒刑與告訴乃論,更改為5年以下有期徒刑與非告訴乃論之事,最受到企業關注。

尤其是個資法施行細則草案第九條更明訂,擁有個資的公務與非公務機關,應該有適當的安全維護措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,並明訂了11項的安全維護措施。包括:一、成立管理組織,配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、必要之使用紀錄、軌跡資料及證據之保存。十一、個人資料安全維護之整體持續改善。相關資安解決方案也因此紛紛出爐。甚至有產險業者推出「資訊安全責任險」,供企業投保,轉嫁不慎洩漏客戶個資後被罰或遭求償的風險。

但新版個資法的施行,連帶也因此帶動網路資安商機,資策會市場情報研究所估計,今年臺灣整體資安市場的規模可望穩定成長,較去年增加近15%、達242億元,若細分應用別,臺灣今年資訊安全市場中,有48%為威脅管理、35%為內容安全服務、9%為身分識別、8%為其他服務。由於金融、流通、電信業等都是個資法執行細則下影響最大的產業,也將是資訊服務業者全力爭取的客戶,也是新版個資法施行之後,最受關注的對象。

企業應建立資安管理平台

面對有明顯犯罪意圖的目標式攻擊,企業資安管理者需要完成的資安工作,將比過去來得更加繁重。管理者必須針對不同設備包括各種系統、網路及應用程式的日誌、事件記錄,進行標準化作業,而不是經由人工來翻譯,從而找到安全隱患。

而因應政府法規及預防未來不斷進化的網路攻擊,企業還必須保存所有的原始日誌檔並進行集中壓縮保存,並作為檢查的依據。因此,如何有效的保存海量的原始日誌、安全事件、網路、資產等資料,也是資安管理未來非常重要的趨勢

事實上,由於網際網路威脅與攻擊方法愈來愈高明,傳統的分析手段已經無法滿足要求,因此資安管理者必須盡可能的收集並偵測更多資料及IT資產,具備更智慧的分析技術及威脅可見度,除了了解哪些資料遭受攻擊的可能性最高外,也能事先評估遭到攻擊而有損失時,應該要如何補救。

轉載自《DIGITIMES中文網》