這一陣子接到不少客戶的電話都是要求我們派出Security team的同仁去幫忙做資安健檢。這些要求其實大多並不是因為爆發緊急病毒事件,而是客戶隱約覺得「怪怪的」,但又沒實質上的證據來印證自己的直覺,只好請資安專業人員來檢查以求心安。
 |
| ▲台灣微軟營運暨行銷事業群伺服器平台事業部資深產品行銷經理Stephanie Lo |
通常,初步檢視的結果大致可分為兩大類型,「外部攻擊」及「內部資料外洩」。大部分外部攻擊的案件初期看似是系統遭受病毒的攻擊,經由深度資安檢測分析後才發現病毒攻擊不過是冰山一角罷了,實際上駭客已滲透進入各單位並有植入工具的跡象;其中不乏殺傷力強大且駭客偏好之「主流」工具。
而且,從客戶公司初步取得的硬碟上,經常會分析出未被現有的防毒工具發現的Trojan/Backdoor 而必須再進一步送往後端處理分析。然而這些已安裝的防毒系統也不乏市場上搭配防火牆等多樣功能的知名品牌。
另外根據網路封包分析發現有異常存取網路行為模式,最明顯的特徵便是持續有帳號被冒用以及密碼猜測行為發生。這時需要進一步取得相關詳細事件資料紀錄,包含Server log等安全機制相關檔案以便進行關聯性分析。
經由這類資安事件延伸而出的問題,後面牽扯出的問題通常是IT整體系統架構不良造成資安漏洞讓駭客有機可乘。根據標準程序,會建議客戶在架構上先將受感染的伺服器隔離再重建以避開網路層的攻擊或直接感染,接下來,系統重建的重心會以資料檔案的保護、端點隔離與安控策略以及用戶端安全防護為主。
第二種現今常見的資安事件便是「內部資料外洩」。追根究柢,這類型的資安事件根本不是安全性的問題,而是內部資訊流通控管所引發的管理議題。某位業界的前輩曾經常開玩笑的說全公司權力最大的並不是總經理而是MIS人員,因為MIS知道公司每一個員工電腦的帳戶和密碼,如果這位MIS心懷不軌的話,只要在程式上動個小手腳,舉凡RD部門正在研發中的資料、醫院的病歷、銀行戶頭往來紀錄,都有可能成為待價而沽之「有價資訊」。
基於這樣的顧慮,當IT 部門設定每一位員工依據所屬的職位來取得相關資訊時,身分識別管理( Identity and Access Management)在企業IT架構中占有越來越重要的地位。除此之外,企業對員工操守的要求標準相對的也比以前高。
在現今智慧犯罪風潮之下,不論是「外部攻擊」或是「內部資料外洩」所造成的資安事件,已從以往單純的擋病毒、架防火牆演變成IT整體架構設計完善與否以及資訊取得權限控管之管理。面面俱到的多重防護才是降低資安風險的不二法門。