近幾年,網(wǎng)絡(luò )安全的天平已經(jīng)向攻擊方傾斜,面對現在的網(wǎng)絡(luò )威脅趨勢,幾乎各大資安業(yè)者都提出無(wú)法完全免於網(wǎng)絡(luò )攻擊的風(fēng)險,而許多資安事件也應證了,企業(yè)并無(wú)法完全阻絕這些風(fēng)險。
對於如何建立正確網(wǎng)絡(luò )防御思維,做出務(wù)實(shí)的網(wǎng)絡(luò )防御策略,在今日舉辦的趨勢科技CloudSec大會(huì )上,趨勢科技資安事件應變小組資深經(jīng)理邱豊翔指出,雖然近年企業(yè)已經(jīng)開(kāi)始重視資安,但還是有一些盲點(diǎn)存在,企業(yè)必須重新設定網(wǎng)絡(luò )防駭的思考方向。他提醒,企業(yè)要體認到3件事:首先是必須要接受沒(méi)有100%安全的概念,第二是因為沒(méi)有絕對的安全,該用何種方式來(lái)降低損害與風(fēng)險就很重要,因此要重新聚焦在高風(fēng)險的網(wǎng)絡(luò )威脅防御,最後則是,不管企業(yè)看到或沒(méi)看到的威脅,其實(shí)都是需要資安事故處理應變的能力,因為這將能夠為企業(yè)減少損失。
為了讓現在的企業(yè)更容易理解,如何聚焦高風(fēng)險的網(wǎng)絡(luò )威脅防御,邱豊翔也借用「黑天鵝效應」與「灰犀牛效應」,這兩種常用於解釋金融市場(chǎng)現象的比喻,來(lái)說(shuō)明入侵影響程度高的不同網(wǎng)絡(luò )威脅危害。
簡(jiǎn)單來(lái)說(shuō),黑天鵝效應的大家應該都不陌生,典故來(lái)自歐洲人認為天鵝都是白色的,在首次接觸到黑天鵝後引發(fā)沖擊,在金融市場(chǎng)解釋?zhuān)褪菢O為罕見(jiàn),通常發(fā)生在預期之外。邱豊翔表示,黑天鵝式的網(wǎng)絡(luò )威脅,也就是認為幾乎不可能發(fā)生,甚至說(shuō)沒(méi)有前例可循,很難預測。也因為難以預測,大部分企業(yè)也不會(huì )投入資源去防護,但一旦遭受入侵,就會(huì )造成極大的影響。
另一個(gè)灰犀牛效應則是近一年來(lái)熱門(mén)的話(huà)題,邱豊翔說(shuō),看似無(wú)害的灰犀牛,每年在非洲草原殺的人卻比獅子還多,有趣的是,盡管很多人都知道這樣的危險,但還是選擇去忽略。因此,灰犀牛式的網(wǎng)絡(luò )威脅,就像近年金融業(yè)遭遇的SWIFT網(wǎng)絡(luò )攻擊事件,在孟加拉銀行事件之後,持續有不同國家銀行同樣遇害。
現場(chǎng),邱豊翔并以他們的資安事件調查經(jīng)驗,來(lái)說(shuō)明這兩類(lèi)威脅。舉例來(lái)說(shuō),以現實(shí)環(huán)境的黑天鵝式網(wǎng)絡(luò )威脅而言,像是有一家企業(yè)做了不少的資安防護,例如將網(wǎng)段依風(fēng)險性區隔,將內部網(wǎng)絡(luò )與協(xié)力廠(chǎng)商維護的伺服器區隔離開(kāi)來(lái),但由於難以預測駭客的入侵管道、攻擊手段,更無(wú)法預測防御零時(shí)差弱點(diǎn),最後駭客經(jīng)過(guò)種種手段,最後再透過(guò)令人意外的交換器零時(shí)差漏洞,進(jìn)而從隔離環(huán)境攻進(jìn)該公司伺服器。
而灰犀牛式的網(wǎng)絡(luò )威脅則不同,像是有企業(yè)IT人員在實(shí)體隔離的環(huán)境,為了貪圖方便則取巧讓兩邊資料能對傳或開(kāi)防火墻,明明知道危險但仍選擇忽略,最後他們不可連外上網(wǎng)的環(huán)境,遭到勒索軟體入侵,將該公司所有研發(fā)資料加密。
面對這兩類(lèi)影響極大的網(wǎng)絡(luò )威脅,企業(yè)該如何應對?邱豊翔也說(shuō)明了因應的方式。先從黑天鵝式的網(wǎng)絡(luò )威脅來(lái)看,盡管防不甚防,但不代表什麼都不做。他認為,企業(yè)先從做到善盡保護責任開(kāi)始,再來(lái)談黑天鵝效應。另外,企業(yè)要找出先要處理的問(wèn)題,才能讓錢(qián)花在刀口上,因此可以回歸到基本的風(fēng)險評估公式,就是威脅、機率與影響。
對於灰犀牛式網(wǎng)絡(luò )威脅的防范,邱豊翔也指出幾個(gè)要點(diǎn),對於威脅情資的蒐集與利用,以及了解各種駭客攻擊法與入侵案例,企業(yè)的重點(diǎn)應放在是檢視自身環(huán)境有沒(méi)有同樣的問(wèn)題,并趕緊處理,但有些企業(yè)對於威脅情資,則當成故事書(shū)來(lái)看,顯然放錯重點(diǎn)。而這類(lèi)受害者的問(wèn)題,其實(shí)大多是一些老生常談的問(wèn)題,例如缺少考量安全性的網(wǎng)絡(luò )架構,存取控制寬松,及帳號權限開(kāi)放過(guò)大,或是管理制度雖通過(guò)內外稽核,但卻未能真正落實(shí)。
畢竟,資安觀(guān)念除了建立,更需要的是能被實(shí)踐。另外,他也提到資安事故應變是必備能力,原因前面其實(shí)也都有提到,沒(méi)有100%的安全,而應變也不只是技術(shù)面的問(wèn)題,需要不同面向的配合,像是營(yíng)運、公關(guān)等。
最後,邱豊翔也建議,相較黑天鵝式的網(wǎng)絡(luò )威脅,企業(yè)更應將焦點(diǎn)放在灰犀牛式的網(wǎng)絡(luò )攻擊,以務(wù)實(shí)角度規畫(huà)網(wǎng)絡(luò )安全防御。而且,比起黑天鵝式網(wǎng)絡(luò )威脅,灰犀牛式網(wǎng)絡(luò )威脅有前例可循,預測難度低,要預先防御也容易。
而面對各種任何型態(tài)的網(wǎng)絡(luò )威脅,防御最好方式還是回歸到基本,做好資訊基礎架構安全,多層次網(wǎng)絡(luò )縱深防御,并要能真正落實(shí)管理制度。另外,資安事故應變能力不可免,才能降低網(wǎng)絡(luò )威脅的沖擊。
