圖片來源: 

羅正漢攝

近幾年,網路安全的天平已經向攻擊方傾斜,而相對的,資安防禦的作法可能也要有所改變。面對現在的網路威脅趨勢,幾乎各大資安業者都提出無法完全免於網路攻擊的風險,而許多資安事件也應證了,企業並無法完全阻絕這些風險。

在無法完全免於網路攻擊的情況下,對於如何建立正確網路防禦思維,做出務實網路防禦策略?趨勢科技資安事件應變小組資深經理邱豊翔指出,雖然近年企業開始重視資安,但還是有一些盲點存在,因此企業必須體認到,需重新設定網路防駭的思考方向。

他提醒,企業要體認到3件事:首先,是必須要接受沒有100%安全的概念;第二是因為沒有絕對的安全,該用何種方式來降低損害與風險,就很重要,因此要重新聚焦在高風險的網路威脅防禦;最後,不管企業看到或沒看到的威脅,其實,都需要資安事故處理應變的能力,因為可以減少損失。

如何聚焦高風險的網路威脅防禦?為了讓現在企業更容易理解,邱豊翔也借用「黑天鵝效應」與「灰犀牛效應」,藉由這兩種常用於解釋金融市場現象的比喻,來說明入侵影響程度高的不同網路威脅危害。

對於突發事件的比喻,大家耳熟能詳的黑天鵝效應,典故來自歐洲人認為天鵝都是白色的,在首次接觸到黑天鵝後,引發衝擊,而用在金融市場的解釋,就是指極為罕見、通常發生在預期之外的事件。邱豊翔表示,黑天鵝式的網路威脅,也就是認為幾乎不可能發生,甚至說沒有前例可循,很難預測。也因為不易預測,大部分企業也不會投入資源去防護,然而一旦遭受入侵,就會造成極大的影響。

另一個「灰犀牛效應」的比喻,則是近一年來熱門的話題。邱豊翔說,看似無害的灰犀牛,每年在非洲草原殺的人卻比獅子還多,儘管很多人都知道這樣的危險,但還是選擇去忽略。因此,灰犀牛式的網路威脅,就像近年金融業遭遇的SWIFT網路攻擊事件,在孟加拉銀行經歷此種威脅之後,至今仍持續有不同國家銀行受到同樣的攻擊。

現場,邱豊翔並以他們的資安事件調查經驗,來說明這兩類威脅。以現實環境的黑天鵝式網路威脅而言,若有一家企業做了不少的資安防護,例如將網段依風險性區隔,將內部網路與協力廠商維護的伺服器區隔離開來,但仍可能由於難以預測駭客的入侵管道、攻擊手段,更無法預測防禦零時差弱點,最後駭客經過種種手段,再透過令人意外的交換器零時差漏洞,進而從隔離環境攻進該公司伺服器。

灰犀牛式網路威脅則不同。例如,有企業IT人員在實體隔離的環境,為了貪圖方便而取巧,讓兩邊資料能對傳而開啟防火牆存取規則,明明知道危險但仍選擇忽略,最後他們原本不可連外上網的環境,反而遭到勒索軟體入侵,將該公司所有研發資料加密。

面對資安事件,務必從檢視自身環境做起,不應當故事來看

面對這兩類影響極大的網路威脅,企業該如何應對?邱豊翔也說明了因應的方式。

從黑天鵝式的網路威脅來看,儘管防不勝防,但並不代表什麼都不做。他認為,企業先要做到善盡保護責任,再來談此種類型突發事故。另外,企業要找出先要處理的問題,才能讓錢花在刀口上,因此可以回歸到基本的風險評估公式,也就是威脅、機率與影響。

而對於灰犀牛式網路威脅的防範,邱豊翔也指出幾個要點,像是對於威脅情資的蒐集與利用,以及瞭解各種駭客攻擊法與入侵案例,企業的重新,應該是放在檢視自身環境,找出是否有同樣的問題,趕緊處理。但有些企業心態有所偏差,對於這些威脅情資,則當成故事書來看,顯然是畫錯重點。

而這類受害者的狀況,其實大多是老生常談的問題,例如缺少考量安全性的網路架構,存取控制寬鬆,以及帳號權限開放範圍過大,或是管理制度雖通過內外稽核,但卻未能真正落實。

畢竟,資安觀念除了建立,更需要的是能被實踐。另外,他也提到資安事故應變是必備能力,因為沒有100%的安全,而應變也不只是技術面的問題,需要不同面向的配合,像是營運、公關等。

最後,邱豊翔也建議,相較黑天鵝式的網路威脅,企業更應將焦點放在灰犀牛式的網路攻擊,以務實角度規畫網路安全防禦。而且,比起黑天鵝式網路威脅,灰犀牛式網路威脅有前例可循,預測難度低,要預先防禦也容易。

而面對各種任何型態的網路威脅,他們認為,防禦最佳解仍是資訊基礎架構安全,以及多層次網路縱深防禦的落實,以及管理制度配合。另外,就是要靠資安事故應變能力,才能降低網路威脅的衝擊。


Advertisement

更多 iThome相關內容