HOME

 

 

那福忠,知名電子出版專家、網路作家。
   
  脆弱的企業資安
  那福忠 July 18, 2016
  請把你的想法寫信給我: frank.na@gmail.com
   

   今年二月,MIT 技術評論HP 企業安全服務、以及 FireEye 公司,合辦了一次企業資訊安全調查,對象是 225 位各企業的網路安全人員、資訊部門主管、企業各級經理、與高層主管,結果發現異常鬆弛脆弱,遠不敵技術精湛手法詭譎的駭客,以致損失連連。近年美國索尼影片、孟加拉銀行、美國 Target 百貨、加拿大的 Ashley Madison 社群網路等多家企業的高層主管,都是因為網路安全不周導致公司重大損失而辭職或遭辭退,所以資訊安全的防護,已經從資訊部門躍升到高層主管,甚至到總經理、董事會的層級。


(取自網路)

   現在看看二月調查的主要結果:大家普遍對資訊安全的防護沒有信心,僅有 6% 的人認為他們的企業已經妥善的準備好了。三分之一的人回應專業不足是最大的單項挑戰,許多企業仍在是否要雇用專家猶豫。大多數企業缺乏資訊危機管理的策略,雖然預計或朝這個方向發展,但仍有 25% 回應他們的公司沒有這樣的策略、甚至以後也不會有。

   大家都一致的看到了多重管道的資安威脅,行動運算、電子郵件、網站,都會受到攻擊,近年帶著自己電腦與手機、與自己下載的 App 到辦公室上班漸成風氣,卻更增加了危險。與 2014 年比較,遭受駭客攻擊的次數普遍增多,至少持平,僅有 7% 回應次數減少。遭受攻擊最大的負面影響是損失時間與生產力,其次是分散時間處理問題,以及增加技術與顧問的費用。

   主持調查的之一是跨國網路安全公司 FireEye,執行長 Kevin Mandia 告訴大家,今天網路攻擊的性質與複雜,即使是最大的企業也無法掌握,所以期望企業抵擋每一次攻擊未必合理。2015年壞性的攻擊增加,像是要求重金贖回被竊取的資料,刪除重要資料,把敏感的資料公開上網,進入原始程式加入惡意的程式碼,這些都是足以讓企業重創的底線。今年三月孟加拉銀行被竊取 8100 萬美元,沒有留下追蹤痕跡,就是一個例子。

   在很多的案例,網路罪犯從未逮捕歸案,即使逮捕也未被起訴,因為追蹤犯罪的證據極為困難。老練的駭客,可以經過地下網路在全球任何地方,從別的國家、藉別的公司,來發動攻擊隱藏自己,而企業的資訊部門、或資訊安全部門,即使是最大的企業,也沒有駭客同等層次的資源與之對抗,所以這本來就不是公平的戰爭,不能怪罪於資訊或安全部門。

   不能知彼、甚至也不完全知己,勝負已知。雖然如此,總不能坐以待斃,企業已經開始自救。據 PWC 調查,有 91% 的回應會遵從以風險為基礎的網路安全架構,如 ISO 27001。60% 採用雲端的資安功能,來加強自身的偵測能力。59% 藉助於大數據的分析,監視資訊的威脅與安全。65% 與外界專業機構合作,結果遭受攻擊的次數顯著減少,是一個較正面結果。54% 設置網路安全主管,層級提升至企業高層經理。

   PWC 的解說過於技術化,MIT 技術評論簡化的提出幾個實際的做法。

風險藍圖

   首先,企業要製作一個風險藍圖,包括危險層次,那些攻擊可以造成致命性的災難,現有的防禦能力有多強。有了這張藍圖,就可以對應製作網路安全的策略,包括預防、偵測、回應、復原的一些做法。

最高層級

   根據二月份的調查,幾乎有一半負責網路安全的人員說,他們需要時間與資源,才能減低風險、減少威脅次數,卻為高層主管所不了解、甚至不置可否。這一概念務需反轉,網路安全不但是高層主管的責任,更是總經理、乃至董事會的職責,這些高層人員不必是專家,但要了解要做哪些事、做到什麼層級,才能維護企業資訊的安全。

加強投資

   許多企業的網路安全部門掛在 IT 部門之外,如財務部、法務部,都反應出資安不是 IT 單獨的工作,把資安視為企業整體的任務。概念雖然正確,但一般企業在資安的投資仍然偏低,低於 IT 部門 10% 的正常投資以下。據二月調查報告,38% 回應投資僅占 IT 的 5%,僅有 9% 回應在 10-15% 之間,大於 15% 的僅有 4%。

專業伙伴

   最後,尋找有經驗的專家作為伙伴,共同建構整體網路與資訊安全的防禦與因應系統,不失為可行的策略。企業自行建立數位城堡,所需的投資與達到的維護能力,未必成比例,而數位技術的進展,也同時增加駭客能量,企業卻很難同步追趕。

   這是一場持續且贏不了的戰爭,企業目前只有上緊螺絲,運用各種方法,試圖把遭受攻擊的次數減到最少,即使不敵攻擊也把損失降到最低,同時期望全球的努力,有朝一日可以讓我們重見天日。

   網上有一個人說的最貼切,要維護網路的資訊安全,先把自己想成駭客:如果我是駭客,我會先從我們公司哪些最脆弱的地方,用什麼方法下手。


上一篇  下一篇  索引