圖片來源: 

攝影_何維涓

去年,駭客針對銀行SWIFT系統的攻擊,震驚了金融產業。網路監控服務Gigamon全球資安議題專家Ian Farquhar表示,隨著全球的金融交易走向即時性,金融業資訊安全防護的時間間距,也從1~2天的因應腳步,大幅縮短到得每秒更新,時時監控系統漏洞,他坦言,現階段,金融安全面臨最大的挑戰是,資料科學家必須在越短的時間內,快速建立偵測威脅的分析模型,和決定哪些資料是有價值的。

從網路7層防禦,擴大到10層全觀檢視資安

企業要加快反應速度,就得轉變防禦思維,才能找出更有效的資安作法。Ian Farquhar舉例,若企業只在網路產品建立安全邊界,不是已經被駭了,就是即將被駭。因為多數企業常著力於網路層加強防護,現在的駭客攻擊已經轉向應用層,「企業應該要全觀地檢視所有電腦設備的安全,就連印表機也不能疏忽,」他建議。

Ian Farquhar建議可用常見網路七層架構,再加上3層變成10層來思考安全防護的層次。第8層要考慮的是個人電腦層的風險,這是最容易成為駭客攻擊目標的跳板的一環,第9層則更進一步考慮到企業組織面,企業應該要制定完善的政策與流程來防範攻擊,最後第10層要考慮到法律與監管面。他指出,現今很多資源都是開源的,政府要管人,也要管政策,前陣子美國的電郵門事件和維基解密公開美國中情局(CIA)的文件,都顯示了政府對於資安的法律和監管,還有許多進步的空間。

Ian Farquhar也表示,近幾年,IoT 的風潮興起,廠商為了能推陳出新搶攻市場,往往忽略了資安的考量,再加上使用者必須自行下載軟體,不少使用者認為只要產品沒問題,就不會更新軟體,Ian Farquhar指出,目前解決IoT安全性的作法,沒有一個是全觀的解決方案,加上IoT的資料都傳到雲端,更增加了資訊安全的風險。

不過,「講到資訊安全,人的問題最大!」Ian Farquhar指出,因應資安挑戰,一般企業常從技術、政策和教育訓練等三個面向著手,教育訓練是企業應先著手的一項。

以預防資料外洩來說,儘管坊間已有資料外洩防護(Data Loss Prevention, DLP)、深度內容檢測等技術可以派上用場,但是還需要配合其他方向的作法。在教育訓練方面,企業應該要建立一套完整的流程,定期教育員工網路惡意攻擊的知識,也可以採用其他企業的案例當教材,讓企業內部員工面對網路惡意程式更有警覺心,此外,教育訓練還需要包含應變措施,像是備份和還原資料、了解資料外洩的程度。

政策面則要搭配的資料管理和監控政策,尤其是老舊也沒價值的資料和系統,因為久沒更新,容易讓駭客取得權限或是繞過驗證機制,所以,他表示,超過5~10年內沒再碰過的老舊資料,就可以直接刪除,不再讓這些資料產生額外的風險。

 

熱門新聞

Advertisement