以竊取數位資產為主要目的發動的進階持續性滲透攻擊(APT),相當隱匿低調難以偵測,發現時往往為時已晚,機敏資料早已落入駭客之手。日前美國聯邦政府公佈人事管理局(Office of Personnel Management)接連遭受攻擊,超過二千多萬筆個資已外洩,事後調查追溯駭客潛伏時間可能超過二年,直到近期才被發現。
其實APT攻擊潛伏期長、資料被盜不自知,在台灣並不罕見,趨勢科技台灣暨香港區總經理洪偉淦指出,趨勢科技自2013年起成立資安事件處理(Incident Response,IR)團隊協助客戶執行資安事件調查,截至2015年7月止,共調查過1,216台伺服器,780台使用者電腦,統計發現從發現遭受攻擊時間開始追溯駭客入侵的起始時間,平均攻擊潛伏期是559天,其中有將近八成的攻擊事件,被發現時往往已經是內網擴散階段。全面性調查後更發現有45%的電腦未被植入後門程式,表示現今的駭客入侵手法並非大張旗鼓,最重要關鍵在於取得高權限,即可達到資料竊取的目的。
 |
| ▲ 前美國中央情報局(CIA)技術長Bob Flores提醒,惡意軟體的變化速度相當快,每年需重新評估資安控管政策與措施,才跟得上外部威脅的腳步。 |
前美國中央情報局(CIA)技術長Bob Flores日前來台接受採訪,他就美國人事管理局的資料外洩事件觀察,駭客得以成功滲透進入內部系統,主要是利用承包商的合法電腦登入,突顯出內部人員的資安意識仍待加強;再加上欠缺防禦措施,包括:資安保護措施僅仰賴病毒特徵碼偵測,根本無法辨識未知型惡意程式、入侵偵測系統缺乏防護機制、敏感性較高的資料未進行加密,以及未建立遠端存取監控。
對於如何規劃防禦措施以避免發生資料外洩事件,Bob Flores認為,IT管理者必須要了解面臨的外部威脅,並掌握可能被駭客利用的弱點。因此他建議可先進行弱點掃描,以釐清潛在的漏洞,再評估萬一資安事件發生,目前的防禦措施是否足以因應。
並非組織內部建置了最先進的資安防禦技術,即可解決所有攻擊行為,Bob Flores強調,任何技術皆有極限,難以完全抵擋現代駭客發動的針對性攻擊。根本的解決之道仍舊是強化內部員工的資安意識,例如判斷郵件安全性的能力,同時必須設立資安事件處理小組與擬定處理程序。而人資、法務等其他各部門則須配合資安事件處理小組,定期進行災難處理演練。
究竟現今有多少企業在編列IT預算時也納入資安事件處理?Bob Flores引述研究機構Ponemon Institute的調查報告指出,在IT總預算中,平均資安的佔比只有5%,其中資安事件處理的預算則不到10%。儘管編列預算本來就沒有一定標準,但他認為,資安的佔比至少應提高到10%才足夠,若是駭客特別覬覦的目標組織,自然必須再增加,才能有效降低資料外洩風險。