近幾年,網(wǎng)絡安全的天平已經(jīng)向攻擊方傾斜,面對現(xiàn)在的網(wǎng)絡威脅趨勢,幾乎各大資安業(yè)者都提出無法完全免於網(wǎng)絡攻擊的風險,而許多資安事件也應證了,企業(yè)并無法完全阻絕這些風險。
對於如何建立正確網(wǎng)絡防御思維,做出務實的網(wǎng)絡防御策略,在今日舉辦的趨勢科技CloudSec大會上,趨勢科技資安事件應變小組資深經(jīng)理邱豊翔指出,雖然近年企業(yè)已經(jīng)開始重視資安,但還是有一些盲點存在,企業(yè)必須重新設定網(wǎng)絡防駭?shù)乃伎挤较。他提醒,企業(yè)要體認到3件事:首先是必須要接受沒有100%安全的概念,第二是因為沒有絕對的安全,該用何種方式來降低損害與風險就很重要,因此要重新聚焦在高風險的網(wǎng)絡威脅防御,最後則是,不管企業(yè)看到或沒看到的威脅,其實都是需要資安事故處理應變的能力,因為這將能夠為企業(yè)減少損失。
為了讓現(xiàn)在的企業(yè)更容易理解,如何聚焦高風險的網(wǎng)絡威脅防御,邱豊翔也借用「黑天鵝效應」與「灰犀牛效應」,這兩種常用於解釋金融市場現(xiàn)象的比喻,來說明入侵影響程度高的不同網(wǎng)絡威脅危害。
簡單來說,黑天鵝效應的大家應該都不陌生,典故來自歐洲人認為天鵝都是白色的,在首次接觸到黑天鵝後引發(fā)沖擊,在金融市場解釋,就是極為罕見,通常發(fā)生在預期之外。邱豊翔表示,黑天鵝式的網(wǎng)絡威脅,也就是認為幾乎不可能發(fā)生,甚至說沒有前例可循,很難預測。也因為難以預測,大部分企業(yè)也不會投入資源去防護,但一旦遭受入侵,就會造成極大的影響。
另一個灰犀牛效應則是近一年來熱門的話題,邱豊翔說,看似無害的灰犀牛,每年在非洲草原殺的人卻比獅子還多,有趣的是,盡管很多人都知道這樣的危險,但還是選擇去忽略。因此,灰犀牛式的網(wǎng)絡威脅,就像近年金融業(yè)遭遇的SWIFT網(wǎng)絡攻擊事件,在孟加拉銀行事件之後,持續(xù)有不同國家銀行同樣遇害。
現(xiàn)場,邱豊翔并以他們的資安事件調查經(jīng)驗,來說明這兩類威脅。舉例來說,以現(xiàn)實環(huán)境的黑天鵝式網(wǎng)絡威脅而言,像是有一家企業(yè)做了不少的資安防護,例如將網(wǎng)段依風險性區(qū)隔,將內部網(wǎng)絡與協(xié)力廠商維護的伺服器區(qū)隔離開來,但由於難以預測駭客的入侵管道、攻擊手段,更無法預測防御零時差弱點,最後駭客經(jīng)過種種手段,最後再透過令人意外的交換器零時差漏洞,進而從隔離環(huán)境攻進該公司伺服器。
而灰犀牛式的網(wǎng)絡威脅則不同,像是有企業(yè)IT人員在實體隔離的環(huán)境,為了貪圖方便則取巧讓兩邊資料能對傳或開防火墻,明明知道危險但仍選擇忽略,最後他們不可連外上網(wǎng)的環(huán)境,遭到勒索軟體入侵,將該公司所有研發(fā)資料加密。
面對這兩類影響極大的網(wǎng)絡威脅,企業(yè)該如何應對?邱豊翔也說明了因應的方式。先從黑天鵝式的網(wǎng)絡威脅來看,盡管防不甚防,但不代表什麼都不做。他認為,企業(yè)先從做到善盡保護責任開始,再來談黑天鵝效應。另外,企業(yè)要找出先要處理的問題,才能讓錢花在刀口上,因此可以回歸到基本的風險評估公式,就是威脅、機率與影響。
對於灰犀牛式網(wǎng)絡威脅的防范,邱豊翔也指出幾個要點,對於威脅情資的蒐集與利用,以及了解各種駭客攻擊法與入侵案例,企業(yè)的重點應放在是檢視自身環(huán)境有沒有同樣的問題,并趕緊處理,但有些企業(yè)對於威脅情資,則當成故事書來看,顯然放錯重點。而這類受害者的問題,其實大多是一些老生常談的問題,例如缺少考量安全性的網(wǎng)絡架構,存取控制寬松,及帳號權限開放過大,或是管理制度雖通過內外稽核,但卻未能真正落實。
畢竟,資安觀念除了建立,更需要的是能被實踐。另外,他也提到資安事故應變是必備能力,原因前面其實也都有提到,沒有100%的安全,而應變也不只是技術面的問題,需要不同面向的配合,像是營運、公關等。
最後,邱豊翔也建議,相較黑天鵝式的網(wǎng)絡威脅,企業(yè)更應將焦點放在灰犀牛式的網(wǎng)絡攻擊,以務實角度規(guī)畫網(wǎng)絡安全防御。而且,比起黑天鵝式網(wǎng)絡威脅,灰犀牛式網(wǎng)絡威脅有前例可循,預測難度低,要預先防御也容易。
而面對各種任何型態(tài)的網(wǎng)絡威脅,防御最好方式還是回歸到基本,做好資訊基礎架構安全,多層次網(wǎng)絡縱深防御,并要能真正落實管理制度。另外,資安事故應變能力不可免,才能降低網(wǎng)絡威脅的沖擊。
