圖片來源: 

攝影:羅正漢

從持續惡化的網路攻擊局勢,到即將制定的資安法規,新一年度的資安局勢變化,是企業持續在關注的焦點。近期,網路安全業者Palo Alto Networks,提出了2019年網路安全趨勢預測,同時他們的亞太區資安長Kevin O’Leary,也在臺向我們說明這些威脅的發展與因應之道。

對於企業而言,2019年值得關注的安全議題有哪些?今年Palo Alto Networks舉出了五大重點,包括:商業電子郵件詐騙(BEC詐騙)的威脅、供應鏈的攻擊,此外還有資料保護立法的發展,更為普及的多雲應用讓安全性變得複雜,以及關鍵基礎設施的重要性,都是值得關注的面向。Kevin O’Leary強調,在這些網路攻擊當中,有一部份已經化為事實,有些是正在發生或可能發生,他們透過這次的年度預測,藉此找出未來必須防範的環節。

近年電子郵件的安全問題,備受各方關注,尤其是危害全球企業極大的BEC詐騙

以Palo Alto Networks的五大預測面向中,最受注目的就是,全球企業不斷蒙受商務電子郵件詐騙之害,而FBI在這五年來已經不斷警告,他們統計到的損失就已經超過120億美元。Palo Alto指出,企業環境的用戶帳密與登入資料竊盜事件,以及偽裝成企業夥伴或內部人員,要求更改匯款銀行帳號的案例,變得越來越多,不僅如此,從偽造公司網站,到瞄準員工社交媒體帳號的手法來看,攻擊者使用的手法也越來越多樣化,並且狡猾。企業能否在2019年因應這些威脅,就是焦點。

對此,Palo Alto建議,企業應審視內部資訊流程,特別是在檢查與核准方面。同時他們也在關注身份識別的安全問題,並預測雙因素認證、與生物驗證將在2019年開始普及。

值得注意的是,過往這樣的威脅大多是郵件安全廠商在關注,今年Palo Alto竟也列為五大預測中的第一重點,這也突顯了近期的電子郵件安全問題,備受各方關注。

其實,在去年12月底,Palo Alto Networks旗下網路威脅情報研究團隊Unit 42,曾經公布3項2019的網路威脅趨勢,當中就有兩項與電子郵件安全相關,一是提到商業電子郵件詐騙的增加,另一是更多電子郵件攻擊使用惡意的巨集程式碼。

對於駭客利用電子郵件發動的各式威脅,Kevin O’Leary在現場也提出一個觀點,因為有些公司會將員工當成風險看待,他認為這樣的觀念必須扭轉,應該要將員工當成受害者,企業要去保護。

此外,BEC詐騙對於臺灣的危害也不少,近年我們不時看到刑事警察局公布電子郵件詐騙案,持續提醒國內貿易公司,要注意這樣的網路攻擊手法。

注意供應鏈的攻擊,以及資料保護立法的態勢

關於供應鏈攻擊的態勢,將成企業防護上的新缺口,成為第二個企業該注意的面向。在全球數位化的今日,企業不論是尋找供應商和委外服務,或是在資訊連結上,都獲得很大的便利性,但安全問題也不容忽視。根據Palo Alto的說明,這將讓投機型攻擊者有機可趁,而這樣的風險在醫療領域已經變得更加明顯。他們也舉例說明,像是第三方廠商連接的醫學設備,如MRI、X光機,由於每天都會接在內部網路,這也就增加了攻擊面與漏洞問題,讓醫院無法掌控。

由於有許多不安全的裝置,連接到企業網路,儘管企業可能無法避免這樣的情形,不過Palo Alto建議,企業可以在採購這些裝置或服務時,注意相關安全標準,並要確保韌體更新,且不要使用預設密碼與弱密碼。同時,也應仔細檢查網路中的流量,確保敏感資訊與外部隔離。

對於鎖定供應鏈的攻擊方式,Kevin O’Leary表示,這種攻擊駭入的不是企業本身,而是從企業包商下手,進而傷害到企業,這在2018年已經有不少案例,因此,他認為2019年會繼續看到這樣的網路攻擊發生。

同時,Kevin O’Leary指出,臺灣製造業在全球供應鏈中其實扮演者重要的角色,因此這樣的問題更是與臺灣息息相關。他也舉例,像是企業使用ERP來管理供應鏈,而現在有許多外包的情況,第三方夥伴也需要納入一併管理。

另一個企業要關注的是,是在資安相關的法規層面。隨著全球各國都開始警覺到,國家安全與民眾資料保護的迫切性,個資保護立法在亞太地區也日漸成熟,包括臺灣的政府,都開始透過立法的方式,去強制要求企業保護他們客戶的資料,而且有些國家會要求資料的主權性,就是要求資料需存放在國境之內保存。而臺灣最新的「資通安全管理法」,也在今年1月1日正式上路。

要注意的是,這對於跨國公司則將有很大的跳戰。由於各國在個資保護法的進度不一,雖然法律規範有相似之處,但仍有差異,因此,與全球接軌的臺灣企業必須要知道,各地的個資保護法有什麼不同。

關於多雲應用的安全性議題,以及關鍵基礎設施的防護,也不可輕忽

第四個面向是在雲端應用方面,隨著雲端已成為企業提供新產品與服務的彈性資源,Palo Alto認為,多雲應用將在2019年更為普遍,而相應的挑戰也將隨之而來。

由於雲端安全性並不只是雲服務供應商的責任,使用的企業也將有其權利與責任,這也使得安全性問題變得更加複雜,對此,Kevin O’Leary表示,希望能找到一個共通的方法,讓企業不論是在AWS、Azure等不同平臺上,都能獲得同樣的保護,而雲端資安廠商與企業本身,也也要能找出一個可共享的模式,來解決這樣的問題。

此外,還有像有一些面向值得注意,例如,隨著DevOps協助加速開發的潮流,在安全性的建立與維護上,也可能面對挑戰,同時他們也提醒,傳統單功能的資安產品,已經不足以面對大量增加且複雜的網路攻擊,如要降低網路風險,必須建立整合、自動化且有效的控制,以便能夠在攻擊生命週期的每一階段,進行偵測和預防已知與未知威脅。關於這一部份,也是Palo Alto不斷在努力的目標。

去年12月,Palo Alto Network威脅情報團隊Unit 42,也曾發布雲安全趨勢的五大關鍵,當中提到:賬戶入侵的規模與速度上升、挖礦劫持逐漸降溫、關於組態設定風險需持續注意、漏洞管理的必要性,以及應為容器模式提供保護。

此外,在這項預測中,關鍵基礎設施的重要性也是Palo Alto所強調的部分。事實上,我們在多家資安業者發布的2019威脅預測中,都有提到這一點。

從關鍵基礎設施的涵蓋範圍來看,在能源、水、公共運輸領域之外,也擴及到金融服務、電信與媒體。一旦這些設施受到影響,後果都相當嚴重,風險程度僅次於天然災害和極端氣候。

但是,隨著關鍵基礎設施邁向數位轉型,以及自動化的浪潮,設備間彼此相連,並連上了網際網路,將更容易成為網路犯罪者的目標。對此,Kevin O’Leary表示,這並非說數位轉型不好,因為這其實對真實世界有很大的好處,只是在轉型的過程中,也應做好防護。對此,Palo Alto也提供了一些建議,例如,必須建置Zero Trust系統,並確保隔離的存取,同時提醒,對於關鍵基礎設施的設計與維護,必須從安全第一為考量,而不要只以法規遵循為本而行事。

最後,在企業面對以上種種挑戰之外,Kevin O’Leary要強調與提醒的是,對於人、流程、與科技這三大要素,都要能夠一視同仁的去重視。他解釋,要讓科技確實發揮作用,必須要有人去確保,以及好的流程配合,在發生問題時,也要有措施能應對。


Advertisement

更多 iThome相關內容