全美第二大零售百貨集團Target,去年12月遭到駭客侵襲,導致1.1億筆客戶遭竊,堪稱美國史上最大宗資料外洩案,影響所及,其資訊長Beth Jacob先於3月黯然下台,總裁兼首席執行長Gregg Steinhafel亦於5月跟進辭職。顯見當前資料外洩的責任,已非IT部門所能獨力扛起,亦向上擴及CEO及董事會,只因此類事件對於企業的股價或商譽,都可能帶來慘重傷害。
從2004年起,網絡、雲端與資安服務供應商Verizon有鑑於資料外洩對企業危害至深,亟需審慎應對,便開始發佈資料外洩調查報告(DBIR-Data Breach Investigations Report;DBIR),旨在協助企業精準規劃資訊安全投資;近來問世的「2014資料外洩調查報告」,已是第7次年度報告。Verizon為全球超過150個國家提供整合性商務解決方案服務,《財富雜誌》(Fortune)前500大企業,全都使用Verizon提供的服務。
Verizon台灣區總經理周恆毅表示,過往任憑竊賊行徑再詭異,仍有一定可視度,如今企業資料的竊賊更擅於隱匿蹤跡,導致受害者難以識別事故之前因後果,因此其在製作2014資料外洩調查報告時,特別分析過去10年所有資安事件,進而將其中92%案例歸納為9大基本型態,包括「銷售點入侵」、「網路間諜活動」、「Web應用程式攻擊」、「犯罪軟體」、「阻斷服務(DOS)攻擊」、「支付卡側錄」、「實體竊盜與遺失」、「內部人員誤用」及「其他錯誤」,便於企業根據自身環境加以比對,釐清主要潛在威脅,繼而實施對應防禦措施。
企業不分產業與規模 皆可能遭攻擊者覬覦此外,Verizon亞太區安全總監黃財明指出,2014資料外洩調查報告是由 50個組織共同協助,彙集約6.34萬起資安事件、1,367起已確認的資料外洩事件,範圍涵蓋95個國家、19個產業。
至於箇中重要發現,則包括了多數攻擊行為來自經濟犯罪組織,主要犯罪動機在於竊取付款與銀行資料、憑證,攻擊手法多偏向駭客行為、惡意軟體,攻擊目標主要落在伺服器、使用者裝置;另值得一提的,2011~2013年期間阻斷服務攻擊尖峰流量已暴漲113%,恐使企業應用服務遭到癱瘓機率驟增,企業必須妥為因應,以避免日常營運因此而停頓。
綜觀2013年已確認之1,367起資料外洩事件,「Web應用程式攻擊」、「網路間諜活動」分別佔有其中35%與22%比例,成為企業最應提防的兩大威脅。
黃財明強調,環顧近10年所有資料外洩事件的受害者,範圍遍及所有產業、以及各種規模的組織,意謂任何企業都不容掉以輕心;而截至目前為止,防禦者偵測資料外洩的速度,仍有過慢之虞,是今後亟需補強的重點所在。
謹守7項原則 嚴加守護重要資訊資產
同樣來自Verizon的首席安全顧問麥孟生,則根據不同產業特性,剖析資安風險對策研擬之道。他指出,發生於各產業的重大資安事件,皆可套用9大基本威脅型態當中的3種來加以描述;譬如製造業面臨的安全問題,主要圍繞於網路間諜、DOS攻擊、Web應用程式攻擊,至於金融服務業,則飽受Web應用程式攻擊、DOS攻擊、支付卡側錄等嚴重威脅。
反觀公共部門,便呈現迥異於其他產業的樣貌,主要威脅源自其他錯誤、內部人員誤用、犯罪軟體;究竟「其他錯誤」所指為何?例如將私有資料置於公開網站、將資料送錯收件人,乃至於未能妥善處理報廢資產(經統計49%為書面資料),皆可能釀成不可逆料的風險。
麥孟生強調事出必有因,威脅之所以出現,皆起因於企業環境存在弱點,才讓駭客有可乘之機,因此企業欲保護資訊資產,務先預防潛在漏洞,接著隨時監測有沒有潛在風險,終至針對異常現象展開因應;著眼於此,Verizon即透過安全顧問、安全代管、雲端安全等服務模式,循序發揮「預防」、「監測」及「回應」等效應,以協助不同產業建立系統性防禦措施;譬如針對製造業,主要透過監控與分析服務、DOS防禦偵測與防範、應用程式弱點掃描等解決方案,協助抵禦網路間諜、DOS攻擊、Web應用程式攻擊等重大威脅,針對金融服務業,另可提供PCI DSS顧問服務,協助化解支付卡側錄風險。
總括而論,Verizon同時針對各產業提出7項建議,唯有提高警覺、讓員工成為第一道防線、將資料維持在「有必要才知悉」的基礎上、迅速修補漏洞、加密敏感資料、使用雙重驗證,以及不要忽略實體資安問題,方能有效遏止資料外洩。
企業若欲深入瞭解所屬產業的威脅,並強化防禦,Verizon建議下載報告暨相關資源 http://www.verizonenterprise.com/tw/DBIR/2014/
熱門新聞
2026-02-06
2026-02-06
2026-02-06
2026-02-06
2026-02-09
2026-02-09