隨著國際間接二連三的大規模資料外洩事件,例如去年(2014)年底居家修繕零售連鎖商店Home Depot超過五千萬筆信用卡資料遭竊、今年初美國人事管理局(Office of Personnel Management,OPM)超過二千萬筆個資外流,都使得資料保護議題持續成為關注的焦點。
其實導致資料外洩的因素相當多,以賽門鐵克近年發布的網路威脅研究報告為例,2013年調查資料外洩主要的管道與原因,一半以上屬於內部意外揭露及設備遺失,來自外部的攻擊行為不到四成。
儘管2014年的調查報告數據顯示外部威脅增加,新型態的針對性攻擊確實應該被正視,但台灣賽門鐵克首席技術顧問張士龍指出,多數企業對於內部機敏資料控管流程,卻未見更積極的改善作為,甚至連防範設備遺失最簡單易行的加密機制,在台灣也僅只有少數企業重視,才會讓有心人士有機可趁。
資安顧問先行評估 據以強化資安體質
欲實施機敏資料的保護措施,資安市場不乏數位權限管理(Digital Rights Management,DRM)、資料外洩防禦(Data Loss Prevention,DLP)、端點安全(Endpoint Security)、檔案加密等技術,可協助防範內部員工意外疏失、或有心人士的竊取行為。然而NEC Solution Platform事業群資深PRESALES專家林漢坤亦發現,台灣仍有為數不少的企業主對於資安不夠重視,認為防毒、防垃圾郵件就已足夠,所幸國內與國外陸續幾起重大資料外洩事件,確實讓企業主逐漸提高對資安的警覺程度。
資安本該基於PDCA(Plan-Do-Check-Action)循環,持續改善機敏資料存取流程及其控管措施,才得以降低外洩的風險性。林漢坤強調,但並非要企業不斷地增添解決方案來因應,而是依據不同的資安等級,建立更安全的營運環境,降低損失的風險。畢竟資料外洩防禦無法僅仰賴單一解決方案來實現,企業內部資安控管的嚴謹程度,需視政策或法規規範,再透過工具輔助達成。因此,首要應先進行資訊安全評估(Assessment),以確認IT控管政策嚴謹程度與解決方案成熟度,兩者相互配合,才得以有效防範內部員工有意或無意地造成資料外洩。
經由具備CISSP、ISO 27001等專業證照的資安顧問實地評估,以釐清企業IT風險現況,同時了解該企業對資安的定義與預期達成的目標,最後提供的評估報告中,包含現行資安潛在的威脅、相較於同業之間的差異,並針對弱點或漏洞提出改善建議、可協助的解決方案種類,再依據威脅嚴重程度擬定導入優先順序的建議計畫。如此一來,不僅對威脅來源有所掌握,亦可實施持續改善措施,強化資安體質。
以檔案資料為核心 建立保護措施
近年來為了因應法規遵循而部署建置的DLP解決方案,以金融業較常見,透過政策落實保護使用中、傳輸中、儲存中的機敏
資料。張士龍從客戶端觀察發現,導入初期為了避免DLP控管政策過於嚴格而影響使用者操作,往往會選用監看(Monitor)、Log等模式,在使用者不知情的狀況下執行背景記錄。運行後卻發現,如此一來根本無法糾正有資安疑慮的流程或存取行為,因此現今的觀念是公司應該宣達資安控管政策與措施,一旦違犯立即封鎖並通報主管,才能讓使用者有所警覺,改變錯誤的行為習慣。
他進一步提及,近來較多的需求是DLP進一步增添整合加密機制,讓機敏資料經過加密後,得以透過郵件外發或轉存至隨身碟,也就是整合Symantec Endpoint Encryption此類方案提供協助。而DLP解決方案的發展趨勢則持續朝向更貼近現代企業應用,例如在日前推出的Symantec DLP 14新版本中,保護措施開始擴展至雲端儲存,支援Box企業版,即使行動裝置未安裝代理程式,同樣可透過內容感知(Content Awareness)技術掃描存放的文件是否包含敏感性資料。
 |
| ▲國際調查數據指出,攻擊者滲透成功直到被發現,平均潛伏約200天以上。(資料來源:台灣微軟) |
在台灣高科技製造業環境常見的DRM系統,用以管控授權文件的存取與加密措施,優碩資訊技術行銷部經理陳品翰觀察,不同的產業特性造就不同資安環境,高科技製造業評估資安機制時,往往較偏重彈性與方便性,於是優碩資訊近年來研發的方向主要著眼於降低安全措施複雜度,日前推出的虛擬磁區防護(Virtual Disk Protection,VDP)新產品,即是運用隔離的概念,讓使用者把機敏文件複製到本機加密的硬碟區域,檔案存取I/O自動地採以AES 256 bits加密,除了便於日常操作,同時確保機敏文件不致被複製、另存、搬離至異地。
主動學習、情資交換 及時辨識異常行為
從外部發動以竊取資料為目的的滲透攻擊,微軟亞太區全球技術支援中心專案經理林宏嘉指出,70%的攻擊者是透過釣魚郵件來發動,利用人性的弱點誘使點選惡意檔案或連結。一旦滲透進入後取得管理者權限,即可簡單執行擴散或竊取數位資產,IT人員往往難以察覺看似合法的存取行為其實是駭客所為。微軟日前推出的進階威脅分析(Advanced Threat Analytics,ATA)系統,即是部署於內部網路,透過機器學習(Machine Learning)技術自動學習與分析目前企業內部員工正常的行為,成為比對基礎。並據此辨識異常狀況主動通報預警,藉此挖掘出以往平均需200天以上才能被發現的攻擊行為。
及早發現攻擊行為,可說是資安領域一致的努力方向。NEC日前才正式在台灣市場開始推動的NCSP(NEC Cyber Security Platform)控管平台,藉此管理終端用戶電腦的威脅與弱點,即內建情資(Intelligence)分析機制,先蒐集個人電腦產生的Log,統整於NCSP伺服器,再依據NEC安全營運中心(Security Operation Center,SOC)提供目前駭客最新的攻擊方式與手法執行相關分析,藉此及時發現內部電腦是否已遭滲透。
林漢坤進一步提到,NCSP控管平台重要的特性之一,即在於內建的情資來源,亦包含當地所屬的CERT(Computer Emergency Response Team)組織,例如在台灣就協同了國家電腦事件處理中心(TWNCERT)進行情資交換,即使是不同區域特有的攻擊手法,也能快速掌握。
至於事件排除方式,若是高科技製造業,且負責相當重要的產品研發,對於客戶有資料保護的責任,林漢坤建議企業內部須成立電腦安全事件處理團隊(Computer Security Incident Response Team,CSIRT),而非發生事件後才臨時成立專案小組,方能化被動為主動地防止機敏資料外流。