無論你管理的是伺服器、網路、桌面還是通訊系統,也無論你接觸的是應用程式、作業系統、網路組態還是資料庫,資訊安全都是今日最無法忽視的問題。隨著地下經濟犯罪的猖獗,專業駭客想盡辦法利用每一個可能的漏洞滲透你的系統,偷走有價值的機密資料,或者利用你的主機當成攻擊別人的跳板。內部的使用者也不可靠,隨時可能有粗心大意的員工或居心不良的訪客,在你的網路或系統中掀起一場茶壺裡的資安風暴。
資安問題百百種,沒有人能拍胸脯保證防護做得滴水不漏,然而儘量改善總是不會錯,有一些非注意不可的事情還是要牢記在心。這次我們以幾位經驗豐富的資安專家的觀點,分別從端點安全、內網安全、資料安全及Web應用安全等不同角度切入,鐵口直斷找出最重要的項目,點出常見的錯誤做法及正確的觀念,讓你用最快的速度掌握適用性最廣泛的資訊安全技巧。
從企業政策下手 打好資安基礎
認清本質第一步 IT絕難獨力落實安全
|
▲專業資訊安全顧問何銘燁指出,「技術、人員、管理政策」構成一個三角形,「安全性、便利性、成本性」構成另一個三角形,這兩個三角形的端點永遠相互牽動。 |
企業資訊體系需要防範的安全問題並非只有單一面向,通常是好幾個層面相互牽動構成整體的資安態勢,在考量常見的端點防毒、閘道端安全、企業內部網路安全,一直到近年來相當熱門的Web應用安全等技術面議題之前,先打好宏觀概念及適合不同企業類型和文化的資訊安全管理政策基底,才能夠針對企業自身資安缺陷進行補強。
不要:只買設備當肥羊
要:配套資安管理流程
資訊安全包含技術、管理政策以及人員,三個面向缺一不可。專業資訊安全顧問何銘燁觀察過很多企業主,雖然重視資訊安全技術,但是採取的作法卻相當隨便,當有最新資安設備上市時,並未謹慎評估這些解決方案是否適合自身企業環境,決策者只顧簽公文通過預算,卻沒有任何人真的清楚知道如何發揮部署設備的效益,這就是不了解技術只是資訊安全的其中一個面向。
他表示,企業如果沒有適當的管理流程配套,投資新設備等於白花錢。例如,有部署IPS監控就相對要有人員去定期查核Log,以管理流程來規範人員何時執行內部資安檢視,而不是單靠設備。如果沒有管理面向的認知,任何安全設備都很難發揮作用。
不要:光靠MIS既有權責
要:制定整體政策
「資安管理很多問題的癥結是在人員管理上。」漢昕科技安全技術服務部資安顧問呂守箴表示,IT人員權責範圍有限,設備採購的預算不在IT部門手上,資安政策制定也因為需要多方協調各單位部門而不能全權掌握,又難以強制使用者上網行為,還要處理應接不暇的Help Desk支援工作,和使用者及決策高層間「有理扯不清」,最終能夠完全掌控的只剩下機房和設備管理。多數企業都沒有體認到,基礎資安防護其實不是技術面防護的問題,而是政策配合「人」的問題。
何銘燁也指出,很多事情對資訊單位來說,是有責無權。例如以電子郵件安全來說,雖然是資訊單位的責任,但是不可能接管使用者的使用權,為降低郵件風險,企業要評估針對惡意郵件的阻擋或放行政策,配合使用者的上網管理政策,適時強制禁止某些網路行為。每個產業別或不同企業規模以及不同資料型態,甚至不同傳輸管道,都應該制定不同的資安控管政策。
不要:任使用者置身事外
要:協同資安教育訓練
多數資安專家都表示,許多企業主和終端使用者都有一種誤解,認為資安就是資訊單位的職責,「不是我份內的事」。其實綜觀資訊安全,指的是「在考量每個人在執行工作的過程當中,個人所延伸的資訊流程的責任。」簡言之,每個員工都應該要有資訊安全的基本概念,人人有責,而非資訊部門所能概括承擔。
何銘燁也指出,電子郵件附加檔開啟與否,使用者大都已經被教育不要開啟來路不明的檔案,或是不可開啟某些特定副檔名的附加檔,但是現在垃圾郵件或惡意郵件能夠誘導使用者開啟郵件預覽後就直接中毒,對使用者教育又是一次長期抗戰。
此外他也指出,企業部署防毒軟體通常會設定定期掃描使用者電腦,並且定期更新病毒檔,但是掃毒時經常會影響到使用者電腦運作效能,甚至只是因為看起來麻煩礙事就把掃毒動作取消,所以很多病毒始終存在。即使擁有最新的防毒武器,若使用者不知使用,永遠也無法解決資安問題。
不要:委外就拋諸腦後
要:主動掌握自身需求
呂守箴表示,資安設備部署後,最重要的是要有人來管理,許多企業組織將資安委外管理,結果企業內承辦人員反而就認為那是委外廠商的工作,但其實最了解內部資源的應該是內部承辦人員,這就是為什麼有了安全設備還是常發生一堆資安事件,原因就在於「人」沒有管理好,逃避了應有的責任。
何銘燁也表示,企業應該要先自身以管理政策評估內部資安需求,才有辦法在技術面著手建置資安設備。經銷商、系統整合商多半會按照產品功能推薦設備,企業組織必須審視其中符合自身需求的產品。企業組織能夠以主動的角色,了解自身的資安需求,才能夠和委外服務廠商充分溝通。
不要:照本宣科強行規範
要:依現況落實認證制度
|
▲漢昕科技安全技術服務部資安顧問呂守箴表示,在全台灣跟各地演講,跟使用者直接接觸接觸後就會發現,普遍資安認知都有待加強,需要透過不斷的教育訓練和強制的資安管理政策提升。 |
KPMG資訊科技諮詢服務高級顧問師花俊傑表示,導入資訊安全管理制度的標準像是ISO27001,其中區分本文和附錄,本文規定必須達到,而附錄則是依照不同企業型態彈性規範,適用於所有產業別不同規模大小的企業,而導入ISO的好處在於,可以建立和合作夥伴生意往來的互信。
他指出,資安應該避免全面性的控管,如果資安管理的機制明顯干擾到日常作業,就不是一個好的管理方法。資訊安全技術面較好解決,但是「人」卻是最難管的面向,所以現今管理制度才會成為顯學,畢竟能不能落實在企業內才重要。
不要:土法煉鋼兼著做
要:編制專人或尋求顧問
吉瑞科技總經理同時也是「大砲開講」網站站長邱春樹指出,一般來說,國外有規模的大公司都會特別編制資安人員甚至CSO(安全長),但是台灣企業資訊安全概念還是很落後,很多高科技、半導體大廠都沒有編制特別的資安部門,原因都在於「不懂資安」,甚至不願意去了解。
何銘燁指出,企業IT部門如果沒有專責資安人員,可以選擇專業資安顧問輔助。由於顧問並非推銷產品,所以比較能夠針對問題治根,IT人員也能夠學到管理制度方法。當然,透過顧問輔助的管理制度方式需要耗費較長的時間,企業組織必須自行評估願意花多少時間達成資安效益。
端點安全最基本 問題卻最多
管理措施須完整落實 資安不能只做一半
企業IT部門人員的工作內容常因使用者發生的問題而面臨多方窘境,每當使用者有不良的網路使用行為,再加上基礎知識不足,教育訓練不夠,造成端點中毒情形層出不窮,資訊安全顧問何銘燁就指出,使用者端點是企業最基本也同時是最大的資安問題。
不要:只依賴防毒軟體
要:給使用者基本資安教育
多數受訪的資安專家都表示,以使用者端點來說,資訊安全認知普遍不足,通常收到的電子郵件標題吸引人,光是預覽就中毒,歸咎資安責任時,IT部門就成了老闆怪罪的冤大頭,反倒還會質疑,不是有防毒軟體怎麼還會中毒?IT部門每年都要求投資防毒軟體建置,怎麼還會發生問題?事實上,就算安裝了防毒軟體,使用者會透過何種管道和病毒接觸,並不是防毒軟體能夠全面防範的。
漢昕科技資安顧問呂守箴表示,透過收發郵件被種植木馬,或是郵件社交工程網站中毒,到底要歸咎為防毒技術問題,還是使用者本身不良網路使用行為的問題,都是有可能的中毒原因,每個使用者最初學習上網時,根本從未被教育過何謂安全上網行為,因此每個使用者端往往是資訊安全最大隱憂,透過花時間的教育訓練,資訊單位反而還會遭到使用者的抗議。但是,如果沒有部署端點防毒,還是會造成資安最大的漏洞,是眼前不爭的事實。
不要:因循舊有防毒技術
要:定期更新病毒碼與程式
很多企業還在用較為舊版的防毒軟體程式,雖然有更新病毒碼,但是掃毒引擎不可能跟著病毒碼一起更新,KPMG資訊科技諮詢服務高級顧問師花俊傑表示,既有的掃描引擎已經無法因應新型態的惡意程式,因此,部署了防毒軟體一樣會產生端點安全風險。
他指出,由於企業端點防毒牽扯到採購成本的問題,一次置換防毒軟體授權通常要花費不少成本,因此,除非決策者認為有必要性,才會全面的將防毒軟體升級,但通常都是要遇到中毒後才會想到要升級,為時已晚。
不要:追求通殺病毒
要:認清資安保護目標
經常防毒軟體偵測到病毒後,卻不一定能予以隔離和刪除,吉瑞科技總經理邱春樹指出,這主要是因為程序或服務會鎖住檔案,就算能夠偵測到病毒也會刪除失敗或隔離失敗,除非將程序或是服務關閉,但是防毒軟體無法自行將程序移除,因此才會有防毒軟體老是無法將病毒移除的狀況,所以病毒查殺率的評比更是沒有參考價值可言。
既然防毒軟體不可能殺掉所有的病毒和木馬,決策主管可能會質疑IT部門,既然殺不掉何須採購。但是,難道一定要做到全部病毒都清除嗎?呂守箴表示,其實許多企業端點安裝防毒防木馬軟體,最終目標還是在於防範外部資安竊取事件,因此只要端點沒有任何資料遭竊的可能性,有時甚至根本不需考慮中毒與否。
不要:靠使用者手動更新
要:建立集中更新管理機制
呂守箴指出,現在大部分病毒都依賴程式漏洞感染,例如瀏覽器或作業系統漏洞。但是,從漏洞感染的病毒,到底是要算漏洞的問題,還是防毒的問題,到底要先補漏洞,還是要先做防毒攔截,每一個組織資訊主管可能會因為預算考量,所想的解決方法也都不一樣,但是無論遲或早,更新漏洞一定勢在必行。
花俊傑表示,微軟有自動化的更新修補機制以及集中管理的資安政策定義,可由管理者遠端落實必要的更新與Windows防火牆啟動等工作。有些公司沒辦法強制使用者自動更新Windows漏洞,需要手動更新,但事實是大部分使用者並不會執行。他建議必須找一套方法建立修補檔更新機制,只要一登入內部網路,就會自動更新端點系統修補檔,否則IT部門還要一一檢查使用者電腦,費時耗力又容易遺漏造成風險。
不要:只注意個人電腦
要:把各種端點裝置納入
多數資安專家都表示,端點並非純粹指的是使用者的個人電腦,還有較常被關注的USB設備,甚至只要是在端點可以儲存的一些週邊裝置,都算是端點安全應該注意的範圍。很多單位對除了電腦之外的裝置沒有做到管控,但企業無論預算多寡,至少也該制定管理規章,或是投資安裝可分辨使用者端點週邊裝置的代理程式在電腦上,有些軟體還可以做到辨認周邊裝置序號,或是管制藍芽、紅外線等傳輸,掃描透過這些管道傳送出去的資料。
花俊傑進一步指出,所有網路終端的設備都可能成為資安漏洞,包括企業裡沒有人看管的設備,像是印表機、小型儲存設備和辦公室檔案伺服器,只要分配到IP可以連線,都算是端點裝置,甚至連Webcam都有可能產生資安威脅,有駭客就曾經駭入汽車旅館的Webcam,利用拿到影像來威脅影像內苦主,進而取得利益。
不要:忽視公司外的端點
要:採取自動化檢查機制
花俊傑指出,企業不能忽略端點裝置從外部連回到公司內網,現在很多端點安全存取控管(NAC)的軟體可以做安全性確認,例如員工在家裡透過VPN連回公司,並不能直接開放權限進入內網,端點安全軟體會先檢查電腦是否有最新的作業系統Patch、防毒軟體是否更新、內建防火牆是否有開啟等,當確認後才會允許端點設備連入內部網路。
如果前述安全檢查並未通過,就會先隔離起來,等完成了所有資安要求,才放行連線,目的是預防端點在外部感染的惡意程式帶進內網中。但是需要注意的是,由於大多數使用者對於安全更新的觀念並沒有建立,需要有引導的方式告知使用者如何更新,現在很多NAC軟體能夠支援透過網頁重新導向協助使用者自助進行更新。
不要:無視病因盲目投藥
要:找出高風險弱點所在
呂守箴表示,建議企業可以將內網電腦感染病毒排行榜表列出來,觀察哪一位同事感染哪一種病毒比例最高,例如辦公室內多次經由某人感染USB病毒,再散佈到其他使用者,因此就針對該同仁加強教育訓練或選擇針對性的防毒軟體。先找出病因再對症下藥,會比斤斤計較防毒軟體的功能更有意義。
花俊傑也指出,內網中惡意程式感染的控管跟單純防護端點安全一樣,主要先針對使用者上網的行為做出判斷,通常某些使用者會容易感染到一些特定的惡意程式、木馬等,就可針對使用者治根。
有些企業還會使用一些網站過濾的機制,直接阻擋有威脅的網站,也是常見的做法。
資料安全措施 須涵蓋全生命週期
從分級分類標示 到備份歸檔銷毀均須顧及
針對資料安全,以下列出常見錯誤觀念和正確做法。
不要:忽視資料分級分類
要:事先定義標示機敏資料
資料安全當然著重在保護資料本身,企業內部應該將資料做分級分類以及安全標示,資安專家們表示,這樣做的目的是讓使用者取得資料後,知道應該負怎樣的責任。例如,一份資料定義在內部才能使用,使用者就只能在內部使用,讓使用者先知道什麼是需要注意的機敏資料,再來承擔對資料保護應該負的責任。
不要:缺乏存取權限控管
要:留存使用稽核記錄
資料存取權限控管,企業必須依照不同使用者的身分職務做區分,配合資料分級分類,規定某些機敏資料僅能賦予高階主管權限,甚至可以結合AD以分部門的方式,來管理資料存取權限。此外,許多DLP或是存取控管的解決方案,也可記錄資料在使用者間傳輸的歷程,資料外洩時能成為查核證據。
不要:遺忘列印文件
要:規範歸檔銷毀流程
辦公室印表機列印的資料常常成為無意間洩漏資料的管道,花俊傑指出,資安稽核人員常會檢查印表機上面有沒有人印了資料忘了拿,如果剛好又有機敏資料任意棄置,那就是很明顯的缺失。資安專家們建議,可以從管理機制對使用者宣導,從技術面可以做到列印結合個人帳號識別、員工卡片等加密認證的方式,當機敏資料棄置時要用碎紙機處理。
不要:輕忽資料交換流程
要:採取安全加密機制
資料安全上針對需要交換的資料,應該要有安全的交換機制,例如,透過E-mail傳送敏感資料,應該要加密或用電子簽章,或是兩端連線交換資料時,可透過VPN或是SSL加密傳輸,確保交換資料的安全,按照企業內主要的資料交換管道,採取對應的安全做法。
此外,紙本資料雖然不能加密,但是可以上鎖於箱子內,例如某縣市政府在傳遞公文時,就是使用箱子做「實體加密」。
不要:鬆懈離線備份
要:顧及全程保密性
資料要定期備份是普遍的認知,但是花俊傑提醒到,企業應該要考慮資料備份後的安全性。例如,有些資料存在伺服器上有存取權限控管的防護,或是閘道端等防護,但是當資料備份到另外的儲存裝置上時,這些安全機制很可能就已經不存在了,曾經有IT人員將資料備份到磁帶,結果磁帶遺失時才發現磁帶沒有加密。因此,離開系統的資料,安全防護還是同樣重要。
不要:誤解DLP技術能耐
要:先做好管理制度
多數資安專家同時表示,企業不應該對DLP有錯誤的期待,認為可做到100%防資料外洩,事實上,DLP方案重點在降低無意間洩漏資料的風險,實體安全例如照相洩密、手抄洩密等,就不可能包含在DLP的範圍,需要以管理制度來管控。