企業積極推動數位轉型之餘,能否持續具備足夠的資安保護能力,其實是許多人深自感到憂慮、不安,甚至會以這樣的考量來阻礙任何的改變,然而,即便不引進新技術、不發展新應用,駭客、惡意軟體、粗心大意的員工、潛伏在組織內部的商業間諜、敵對國家或組織,並不會因此放過你或你所屬的單位。

同時,隨著使用者電腦平臺的多元發展,Windows不再是唯一的目標,macOS、iOS這些先前因其封閉的特性而被認為相對安全的平臺,在這十年來行動裝置大量普及的期間,也被有心人士盯上,持續挖掘作業系統與應用程式漏洞、伺機侵入之餘,更陸續出現針對這些平臺的惡意軟體。

而就各種資安威脅的發動而言,從早先被動、願者上鉤的偷渡式下載(Drive by download)、網路釣魚、社交工程引誘,擴增了許多主動、針對性更強、量身打造的攻擊手法,於是,陸續從魚叉式網路釣魚(Spear Phishing)、目標式攻擊(Target Attack),演進到進階持續性威脅(APT)、商業郵件詐騙(BEC),甚至是供應鏈攻擊(Supply Chain Attack)。

從受害對象規模來看,這些後來被發現有明確攻擊目標的惡意威脅,影響範圍未必很小,有時候會衝擊到同一個產業的其他公司、同一種工作性質的使用者,或是位於同一個供應鏈的合作廠商。

也因此,談到資安防護的整體策略,有越來越多人體認到零信任(Zero Trust)概念的重要性。任何設備、應用程式、使用者要獲得信任,都應該不厭其煩地經過檢測和驗證,才能獲得存取授權,而這個實體所能接觸到的部分,必須局限在合理的範圍,不能過度授權,盡可能地設法縮小受到攻擊的部分(attack surface),減少非必要的暴露,同時,也應該給予適當的隔離,這麼一來,即便最後無法倖免於難,至少得以預先掌握可能遭到破壞的範圍。

值得注意的是,資安威脅的發展,除了仰賴駭客的技術不斷突破,以及雲端服務、大數據等新興科技的普及而水漲船高,大量資料外洩事件頻傳,也助長了惡勢力的規模。尤其是涉及使用者帳密的資料外洩,更讓俗稱撞庫的身分填充攻擊(Credential Stuffing Attacks)甚囂塵上,駭客可運用機器人程式(Bot)結合身分填充攻擊手法,發動自動冒用使用者身分的惡意行為。另一方面,就算沒有這些使用者資料添柴加火,單是許多物聯網設備採用的通用預設密碼,也足以讓掌握相關情報的駭客闖入,並大量操控這些裝置來發動各種惡意網路攻擊。

若要從應用程式層面進行滲透,近期也出現各種過去所意想不到的路徑與手法。例如,熱門的上游開放原始碼軟體元件、免費IT系統工具、網站服務、API,以及普遍採用的網路協定漏洞,有些攻擊則會竊取與冒用特定廠商的數位憑證,讓相關的檢查工具誤以為是合法軟體。

總而言之,攻擊手法持續演進,處處都要提防已是不可逃避的現實,無論是濫用高層次、隱藏在各種環節的安全性弱點,或是技術難度不高、顯而易見的惡意行為,都是身為防禦方所必須要通盤考量的,因此,在企業發展資安防護時,對於惡意威脅侵入與造成衝擊,務必要涵蓋到事前、事中、事後的因應,做好充分的準備,不能再抱著單靠事前預防的角度來進行防禦,因為百密總有一疏,我們在事中若能做到及早察覺,以及事後的快速處理與復原,都會是落實整體資安的一部分。

此外,企業對於任何形式的委外與合作廠商的資安風險,也必須適時的掌握,因為,許多惡意威脅的發動者也意識到,直接針對攻擊目標的成功率有限,以間接、迂迴的方式來進行滲透,雖然難度高,但或許能爭取到更多機會來影響無這類資安意識的企業。

 相關報導  數位轉型浪潮的源頭(上) IT十年數位轉型浪潮的源頭(下) IT十年

作者簡介


Advertisement

更多 iThome相關內容