從幾起重大資料外洩事故新聞中不難發現,即使企業有能力導入最先進的資安技術,仍舊無法杜絕有心人士違法行為,尤其是擁有合法存取權限者。近一年來,台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉實際參與許多重大資料外洩案件調查發現,企業對於營業秘密保護措施的重點,應從資安問題,拉高到犯罪預防。
「畢竟解決方案廠商是以銷售為目的,但資料外洩問題的範疇相當廣,並非單一種方案得以完整涵蓋,因此應該以犯罪預防的角度來看待,思考蓄意違反公司制度的惡意行為途徑。」林宏嘉說。而實際參與客戶內部發生的資料外洩事件調查,得以親身接觸犯罪者,掌握事件的始末,發現只要是人所設計的防禦機制,都有可被破解的手法。因此,要處理資料外洩問題,不在於用了多少解決方案,而是企業必須調整保護策略與因應措施。
如今企業面對的並非衝動型犯罪者,而是目標相當明確的竊取資料謀取利益,甚至是商業間諜行為。當然,竊取的動機,不外乎政治問題、損害對手商譽與探查營運狀況、研發競爭等因素,但值得留意的是,防範這類犯罪動機的措施,通常未被納入現有的管理辦法之中。
|
▲ 台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉觀察,資料外洩風險未被高度重視的原因,溝通方式可說是關鍵,IT管理者必須要以老闆或決策主管聽得懂的語言說明緣由,才得以讓高層提高警覺心。 |
大多數防禦機制,僅關注員工是否透過私人行動裝置或隨身碟,帶走公司機敏資料,或者是日前台積電才發生的案例,列印製程相關文件後帶走,諸如此類具體的行為。如此一來,即可能被保護措施的框架所侷限,眼界也將因此受到限制,再加上缺乏重新檢視工作流程,以及思考潛在安全問題,導致盲點過多,一旦出事通常始料未及。
「微軟處理的資安事件多數為智慧型犯罪,調查方式是從日常工作產生的合法行為資訊中,找到犯罪的事實。犯罪者通常會依據不同環境條件,制定突破的策略,才能在不觸發自動化機制之下,順利達到竊取文件的目的,因此無法僅仰賴告警來預防。」
至於資安市場上近年來相當盛行使用者存取行為分析機制,多數都是透過學習方式建立正常的基準線,藉此凸顯出異常。「但就我實際處理資料外洩事件來看,通常會基於合法行為竊取資料,行為分析技術尚未演進到得以解讀此環節。」林宏嘉說。因為犯罪者同樣懂得行為分析的調查與分析,也會學習在合法行為模式下,達到犯罪的目的。如此一來,只能仰仗敏銳度更高的專業人力,從合理、合法的資訊中察覺出蛛絲馬跡,進而追蹤確認是否為犯罪的事實。藉此在事件發生當下,讓損失降到最低。