組織單位的心態多數是發生資安事件時會隱瞞不願透露,因此日本政府試圖經由立法來導正,其實網路安全事件發生時,管理者並非怠忽職守的罪人,而是遭受攻擊的受害者,藉此鼓勵政府單位在事件發生時能夠儘快通報,而非一昧追究責任。
為了改善企業營運效率,在競爭激烈市場中維持競爭力、創新商機,資訊科技的發展可說是日新月異,多數企業日常工作所產生的數位資料,已成為足以撼動企業營運能力的重要資產,自然成為駭客用來謀取利益的標的。
近年來,國際間企業組織、政府單位,接連發生資料外洩事件,Palo Alto Networks日本副董事長暨安全長William H. Saito形容有如Code War(程式碼戰爭),較實體戰場更為嚴峻,因為在網路世界中,敵人的樣貌變得難以釐清,發動攻擊者究竟是組織犯罪、恐怖份子,或是國家贊助的單位,也無從得知。他指出,如今正在全球興起的物聯網(Internet of Things,IoT)應用趨勢,不論任何型式的裝置,均有基本運算能力,也可能會遭受駭客入侵,若無法處理物聯網環境的資安問題,發展勢必受限。
鞏固資安以強化競爭力
|
▲ Palo Alto Networks日本副董事長暨安全長William H. Saito曾參與日本福島核災調查,得到的結論是:有人就可能出錯、機器一定會故障、意外一定會發生,因此組織單位勢必要具備「復原力」,並定期演練,才得以降低災難造成的損害。 |
從事資安領域相關工作已有25年經驗的William H. Saito認為,網路安全不外乎達成安全、實用性、成本三者的平衡,組織或單位之所以會出現弱點或漏洞,多數是失衡所導致。
他舉例,企業組織的心態往往會認為內部資料不足以吸引駭客組織發動竊取,因此忽略保護的重要性。事實上,網路安全絕對不只資料外洩事件而已,資訊的完整性與機敏資料外洩事件其實同等重要,例如萬一是醫療資料庫被入侵後,病患原本血型為O型卻被改為B型,還可能危及生命安全。
「身分驗證與密碼,可說是現在網路安全中問題較大的環節。」William H. Saito強調。身分驗證可透過密碼、Token、地理位置、行為模式來加以辨識,應具備雙因素認證才得以確保安全性。若資安得以被鞏固,可放心導入創新應用,能因此提升整體運作效率或競爭力,尤其是對於台灣眾多的製造業而言,資安未必是成本或負擔,反而藉此為營運帶來正面影響力。
資安事件通報機制 避免其他單位受駭
回顧過去十年,William H. Saito發現網路安全經歷了四個重要的創新。首先是簽章機制,認為因應網路攻擊,只要定期更新特徵碼與簽章即可抵擋,但現今已非如此;第二個創新是發現攻擊有生命循環,也就是攻擊鏈(Kill Chain),駭客必須每個步驟都到位,才能夠成功。意即在攻擊的生命週期中,若可終止任何一個步驟的執行,即可摧毀該次攻擊活動。但不同的駭客組織、不同的目的,攻擊鏈的內容均不同,往往難以被及時發現。
第三個創新是資訊分享,William H. Saito舉例,「前任美國總統時代,我曾參與『公私夥伴關係(Public Private Partnership)』國家專案,後來演變成ISAC(Information Sharing and Analysis Center),或現任美國總統歐巴馬發布行政命令,指示國土安全部門發展的ISAO(Information Sharing and Analysis Organizations)組織」。
身兼日本內閣辦公室特別顧問的William H. Saito發現,其實多數的政府組織、企業單位,面對網路安全議題時,都是歸類在IT部門,日本政府的網路安全組織架構也不例外。直到2014年11月時正式通過,立法將網路安全放在橫向連結的位置,也就是跟國家安全位處於相同等級。此後,所有部會若有發生任何網路安全事件,必須要公開分享,統一匯報至NISC(National Information Security Center),也就是網路安全事件整備與策略中心。
他進一步說明,之所以立法,是因為組織單位的心態多數是發生資安事件時會隱藏不願透露,因此日本政府試圖經由立法來導正,其實網路安全事件發生時,管理者並非怠忽職守的罪人,而是遭受攻擊的受害者,藉此鼓勵政府單位在事件發生時能夠儘快通報,而非一昧追究責任。就今年日本政府發生國民年金系統的資料外洩事件來看,被竊取一百五十萬筆個資,在當地可說是相當重大的事件,不僅確實通報事件訊息,且速度較以往更快。
第四個創新,即是無法採用以往防禦思維攔阻攻擊活動,現代駭客主要是利用零時差發動,對資安機制而言屬未知型威脅,且持續以倍數的成長,必須妥善利用自動化機制來協助,從應用情境、存取行為等模式來辨別,而非單靠傳統特徵碼方式執行,正是Palo Alto Networks技術發展的主要方向。
基於雲端威脅情報 建構安全預防模式
Palo Alto的作法是破壞攻擊鏈中任何一個可能的攻擊行為,藉此阻斷活動。William H. Saito說明,就攻擊鏈來看,假設惡意程式是由公司內賊有心散佈,未經過邊界防禦固然無法偵測,但畢竟資料竊取活動的成功,在於取得機敏資料並且傳遞至駭客掌握區域(例如中繼站),只要向外傳輸時一經過邊界就可及時阻斷,讓活動失效;然而,萬一遭受APT,利用零時差漏洞,鎖定企業發動針對式攻擊,確實任何偵測模式皆無法發現。
「Palo Alto的作法是監看應用服務,依照使用情境、目的、存取模式,若偵測到應用服務偏離常態,就會標記為可疑活動。」William H. Saito強調。現今資安市場發展的重點是辨識未知型攻擊的能力,Palo Alto Networks不僅積極發展針對未知型威脅的偵測與防堵機制,更進一步基於超過7,000名用戶訂購的WildFire服務、研究團隊Unit 42以及最新發布的全新威脅情報雲服務AutoFocus,來建構預防模式。
Palo Alto Networks亞太區總裁Steve Redman補充,亞洲區的網路流量幾乎半數為加密傳輸,若內含惡意程式自然可順利繞過防火牆,然而Palo Alto的作法強調的是解析應用層,而非僅針對通訊協定。此外,Palo Alto設備採取單通道平行處理架構,以滿足用戶對於高效能運算與低延遲網路傳輸的需求。