Hardware Security Module User Behavior Analytics Insider Threat Forcepoint Websense Ipswitch Thales 資料外洩 中華數位 亞利安 UBA HSM DLP

人vs.資料vs.政策 全方位捍衛數位資產

2016-08-03
從近來幾起受到大眾關注的資安事件,例如轟動全球的「巴拿馬文件」資料外洩量達2.6TB,以及日前才發生第一銀行ATM遭國際犯罪組織盜領八千多萬的案件,足以顯示高科技犯罪集團不僅技術精良,攻擊戰略亦相當縝密,即便是擁有佈建先進防禦技術能力的大型企業,仍難以倖免被找到破口滲透入侵,至於若是內部人員所為,則更難察覺。儘管新型態攻擊威脅難以百分百防堵,但握有營業機密、智慧財產、客戶個人資料等的企業,仍舊必須透過建立相對安全的控管政策與相關措施,提高攻擊門檻,全力降低資料外洩風險。
根據Forcepoint贊助隱私暨資訊管理研究機構Ponemon Institute所做的2016年全球威脅研究報告指出,「員工的不安全行為」可說是資安最大威脅來源,尤其是擁有機敏資料存取權限的高層管理者,一旦犯罪組織滲透入侵電腦得逞後取得帳號與密碼,即可以合法的方式,順利盜取具利益價值的數位資料。如今在行動化應用時代下,狀況更為嚴峻,犯罪者得以有更多管道執行滲透、潛伏,規避內部資安防禦機制的偵測。現代企業同時面臨產業轉型的競爭壓力,以及IT環境變革後帶來的資安風險,資料保護政策與措施勢必得與時俱進。

DLP搭配UBA 完整掌握人的存取行為

既然「人」是造成資安威脅的源頭,除了以檔案為核心的保護機制,對於使用者的行為資訊也應有所掌握。Forcepoint北亞區技術總監莊添發指出,以往的資料保護措施,通常會透過資料外洩保護(DLP)方案來實施,近年來因應IT環境改變、公有雲服務盛行,僅以DLP基於內容感知技術偵測已不夠,市場上已開始出現運用大數據平台實作使用者行為分析(User Behavior Analytics,UBA),以科學數據掌握內部威脅(Insider Threat)資訊。

傳統DLP的內容控管政策,莊添發舉例,偵測身分證號可依據首字為英文,接續九個數字來建立規則,若再納入使用者行為分析機制,則可基於應用情境進一步判斷是否為合法。以發送郵件的行為來看,常見的狀況是外發郵件以密件副本(BCC)方式保存到自己的外部信箱,即可運用複雜的演算規則來協助偵測,發現兩個郵件位址實際上皆屬於同一人所有,以自動化分析出此類不被允許的行為;或者是設定時間參數,若是半夜三點鐘,突然有大量的資料傳送,即可被標示為異常行為。最後依據風險評估準則,必要時建立規則禁止執行。

依據不同管理辦法、IT環境,落實DLP控管規則,相當需要具備領域知識與建置經驗的廠商協助,否則往往需要一段摸索學習時間。Forcepoint擁有的Websense技術,在本土已累積許多建置案例,尤其是銀行業,即可以同業經驗為基礎,進而調整直到符合實際應用模式,降低導入複雜度。這也是過去Websense在台灣得以累積許多客戶的原因。

基於HSM建立集中管理金鑰架構

可被利用來執行滲透攻擊的管道愈來愈多,無法全面防堵之下,另一種常見的資料保護作法,即是直接針對機敏資料予以加密。亞利安科技資安技術支援部經理王添龍認為,加解密技術發展已久,例如在業界受肯定且廣為採用的RSA非對稱加密演算法,金鑰強度已可達2048位元,幾乎難以被暴力破解。對IT管理者而言,金鑰保護機制才是主要關鍵。

過去習慣的架構是把所有金鑰集中到HSM(Hardware Security Module)實體設備統一保管,而HSM存放金鑰的儲存媒體,通常是以快閃記憶體(Flash Memory)為主,以確保存取效能與避免硬碟發生機械故障,只是如此一來,儲存容量就有限制。但今日不同的應用模式皆會產出金鑰,例如創新的第三方支付,每位客戶都有公開金鑰,勢必得克服HSM容量有限的問題。此外,HSM無法如同一般應用系統的備份程序,大多存放於智慧卡(Smart Card),容量有限,難以符合現今系統應用模式。

其實以往的應用系統產生金鑰的數量,再多也罕見過百,可能兩台HSM足以因應。但如今的應用所產生的金鑰數量日漸增多,橫向擴充HSM設備會增添維運複雜度,並非為最佳解。「因此Thales設計的HSM產品架構,僅在設備內存放一把金鑰,其他的金鑰皆存放到另一台Remote File System伺服器,就算伺服器系統被滲透入侵並盜取金鑰,也無法單獨被使用,還需要搭配Thales HSM設備內的金鑰。Thales的金鑰管理架構,才能符合瞬息萬變的前端應用模式。」

業界顧問輔導 逐步強化捍衛營業秘密

從管理的角度看資料外洩議題,法規遵循亦是不可或缺的要項。中華數位企業資料保護研究小組專案顧問吳毅勛觀察,目前台灣比較薄弱的正是法規遵循,以營業秘密法為例,在日本、韓國發展較完整,便有專責主管機關推動配套措施,如同個資法施行細則般,企業才懂得落實於資安保護措施。近期由資策會科法所所推動的「營業秘密管理指針」,則可望協助企業快速理解營業秘密的基本管理要項,及早執行管理措施,捍衛公司權益。

吳毅勛進一步說明,侵害營業秘密始終是本土製造業等產業相當棘手的問題,例如離職員工挾帶產品研發設計圖等機敏文件跳槽或自立門戶。實務上,常見企業雖有建立營業秘密控管措施,甚至投入大量資源建置資安系統,但當面對司法時,卻因未符合法律要求的合理保密措施程度,最終以敗訴收場。

資料保護所建立的存取控管、實體安全、密碼強度檢查等機制,屬於IT基礎架構控管範疇;但營業秘密的重點是必須符合法律規範定義,包括檔案必須具備經濟價值、機密性、保護措施,且要由企業自行舉證。如此一來,在實施保護措施前,需先行定義具經濟價值的檔案,再透過IT工具執行盤點、標示,才是正確的因應程序。

但問題是,台灣在國際市場最具競爭力的製造業,多數為代工起家,業主與IT部門皆無法指出需要保護的營業秘密,自然也不認為資料外洩保護有何重要性,直到整個製造流程被惡意竊取、客戶不再持續下訂單,才驚覺公司營運近二十?年,累積的製程正是核心競爭力。 對此吳毅勛認為,最根本的解決之道,可委由中華數位等業界專家顧問輔導,協助釐清潛在可能損害公司利益的相關議題,建立正確的認知,並擬定有效的管理辦法,運用資安工具才得以發揮效益。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!