近幾年,網(wǎng)絡(luò)安全的天平已經(jīng)向攻擊方傾斜,面對(duì)現(xiàn)在的網(wǎng)絡(luò)威脅趨勢(shì),幾乎各大資安業(yè)者都提出無(wú)法完全免於網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),而許多資安事件也應(yīng)證了,企業(yè)并無(wú)法完全阻絕這些風(fēng)險(xiǎn)。
對(duì)於如何建立正確網(wǎng)絡(luò)防御思維,做出務(wù)實(shí)的網(wǎng)絡(luò)防御策略,在今日舉辦的趨勢(shì)科技CloudSec大會(huì)上,趨勢(shì)科技資安事件應(yīng)變小組資深經(jīng)理邱豊翔指出,雖然近年企業(yè)已經(jīng)開(kāi)始重視資安,但還是有一些盲點(diǎn)存在,企業(yè)必須重新設(shè)定網(wǎng)絡(luò)防駭?shù)乃伎挤较。他提醒,企業(yè)要體認(rèn)到3件事:首先是必須要接受沒(méi)有100%安全的概念,第二是因?yàn)闆](méi)有絕對(duì)的安全,該用何種方式來(lái)降低損害與風(fēng)險(xiǎn)就很重要,因此要重新聚焦在高風(fēng)險(xiǎn)的網(wǎng)絡(luò)威脅防御,最後則是,不管企業(yè)看到或沒(méi)看到的威脅,其實(shí)都是需要資安事故處理應(yīng)變的能力,因?yàn)檫@將能夠?yàn)槠髽I(yè)減少損失。
為了讓現(xiàn)在的企業(yè)更容易理解,如何聚焦高風(fēng)險(xiǎn)的網(wǎng)絡(luò)威脅防御,邱豊翔也借用「黑天鵝效應(yīng)」與「灰犀牛效應(yīng)」,這兩種常用於解釋金融市場(chǎng)現(xiàn)象的比喻,來(lái)說(shuō)明入侵影響程度高的不同網(wǎng)絡(luò)威脅危害。
簡(jiǎn)單來(lái)說(shuō),黑天鵝效應(yīng)的大家應(yīng)該都不陌生,典故來(lái)自歐洲人認(rèn)為天鵝都是白色的,在首次接觸到黑天鵝後引發(fā)沖擊,在金融市場(chǎng)解釋,就是極為罕見(jiàn),通常發(fā)生在預(yù)期之外。邱豊翔表示,黑天鵝式的網(wǎng)絡(luò)威脅,也就是認(rèn)為幾乎不可能發(fā)生,甚至說(shuō)沒(méi)有前例可循,很難預(yù)測(cè)。也因?yàn)殡y以預(yù)測(cè),大部分企業(yè)也不會(huì)投入資源去防護(hù),但一旦遭受入侵,就會(huì)造成極大的影響。
另一個(gè)灰犀牛效應(yīng)則是近一年來(lái)熱門的話題,邱豊翔說(shuō),看似無(wú)害的灰犀牛,每年在非洲草原殺的人卻比獅子還多,有趣的是,盡管很多人都知道這樣的危險(xiǎn),但還是選擇去忽略。因此,灰犀牛式的網(wǎng)絡(luò)威脅,就像近年金融業(yè)遭遇的SWIFT網(wǎng)絡(luò)攻擊事件,在孟加拉銀行事件之後,持續(xù)有不同國(guó)家銀行同樣遇害。
現(xiàn)場(chǎng),邱豊翔并以他們的資安事件調(diào)查經(jīng)驗(yàn),來(lái)說(shuō)明這兩類威脅。舉例來(lái)說(shuō),以現(xiàn)實(shí)環(huán)境的黑天鵝式網(wǎng)絡(luò)威脅而言,像是有一家企業(yè)做了不少的資安防護(hù),例如將網(wǎng)段依風(fēng)險(xiǎn)性區(qū)隔,將內(nèi)部網(wǎng)絡(luò)與協(xié)力廠商維護(hù)的伺服器區(qū)隔離開(kāi)來(lái),但由於難以預(yù)測(cè)駭客的入侵管道、攻擊手段,更無(wú)法預(yù)測(cè)防御零時(shí)差弱點(diǎn),最後駭客經(jīng)過(guò)種種手段,最後再透過(guò)令人意外的交換器零時(shí)差漏洞,進(jìn)而從隔離環(huán)境攻進(jìn)該公司伺服器。
而灰犀牛式的網(wǎng)絡(luò)威脅則不同,像是有企業(yè)IT人員在實(shí)體隔離的環(huán)境,為了貪圖方便則取巧讓兩邊資料能對(duì)傳或開(kāi)防火墻,明明知道危險(xiǎn)但仍選擇忽略,最後他們不可連外上網(wǎng)的環(huán)境,遭到勒索軟體入侵,將該公司所有研發(fā)資料加密。
面對(duì)這兩類影響極大的網(wǎng)絡(luò)威脅,企業(yè)該如何應(yīng)對(duì)?邱豊翔也說(shuō)明了因應(yīng)的方式。先從黑天鵝式的網(wǎng)絡(luò)威脅來(lái)看,盡管防不甚防,但不代表什麼都不做。他認(rèn)為,企業(yè)先從做到善盡保護(hù)責(zé)任開(kāi)始,再來(lái)談黑天鵝效應(yīng)。另外,企業(yè)要找出先要處理的問(wèn)題,才能讓錢花在刀口上,因此可以回歸到基本的風(fēng)險(xiǎn)評(píng)估公式,就是威脅、機(jī)率與影響。
對(duì)於灰犀牛式網(wǎng)絡(luò)威脅的防范,邱豊翔也指出幾個(gè)要點(diǎn),對(duì)於威脅情資的蒐集與利用,以及了解各種駭客攻擊法與入侵案例,企業(yè)的重點(diǎn)應(yīng)放在是檢視自身環(huán)境有沒(méi)有同樣的問(wèn)題,并趕緊處理,但有些企業(yè)對(duì)於威脅情資,則當(dāng)成故事書(shū)來(lái)看,顯然放錯(cuò)重點(diǎn)。而這類受害者的問(wèn)題,其實(shí)大多是一些老生常談的問(wèn)題,例如缺少考量安全性的網(wǎng)絡(luò)架構(gòu),存取控制寬松,及帳號(hào)權(quán)限開(kāi)放過(guò)大,或是管理制度雖通過(guò)內(nèi)外稽核,但卻未能真正落實(shí)。
畢竟,資安觀念除了建立,更需要的是能被實(shí)踐。另外,他也提到資安事故應(yīng)變是必備能力,原因前面其實(shí)也都有提到,沒(méi)有100%的安全,而應(yīng)變也不只是技術(shù)面的問(wèn)題,需要不同面向的配合,像是營(yíng)運(yùn)、公關(guān)等。
最後,邱豊翔也建議,相較黑天鵝式的網(wǎng)絡(luò)威脅,企業(yè)更應(yīng)將焦點(diǎn)放在灰犀牛式的網(wǎng)絡(luò)攻擊,以務(wù)實(shí)角度規(guī)畫(huà)網(wǎng)絡(luò)安全防御。而且,比起黑天鵝式網(wǎng)絡(luò)威脅,灰犀牛式網(wǎng)絡(luò)威脅有前例可循,預(yù)測(cè)難度低,要預(yù)先防御也容易。
而面對(duì)各種任何型態(tài)的網(wǎng)絡(luò)威脅,防御最好方式還是回歸到基本,做好資訊基礎(chǔ)架構(gòu)安全,多層次網(wǎng)絡(luò)縱深防御,并要能真正落實(shí)管理制度。另外,資安事故應(yīng)變能力不可免,才能降低網(wǎng)絡(luò)威脅的沖擊。
