行動裝置、巨量資料、社交媒體以及雲端服務已經成為駭客覬覦的目標,新的威脅手法也將推陳出新,接下來就來看看業界專家們對於2013年在網路與資訊安全領域的趨勢發展觀察,以及對企業提供哪些資安防範建議。
人與裝置的信任危機
不少研究報告紛紛指出,資料外洩最高的風險其實是來自於企業內部「受到信任」的員工,特別是權限愈高,愈可能取得高機密的資料,一旦這些資料外洩,對企業所造成的影響也甚具破壞力。根據一項由美國國土安全部、Carnegie Mellon大學軟體工程研究所的CERT內幕威脅中心和美國特勤局資助的研究中,研究人員發現,在金融業中,內部從事惡意詐欺行為的人通常要將近32個月的時間才會被發現。
而同樣因為信任而可能帶來資安風險的趨勢,還有最近當紅的BYOD風潮。Check Point台灣區技術顧問吳炳東解釋,不少企業信任員工,迎合BYOD潮流,准許透過自用裝置存取系統,卻沒有採取適當的技術及正確的政策。當有愈來愈多的使用者像使用個人電腦一樣使用行動設備時,這種習慣就如同使用筆記型電腦一樣,很容易讓自身暴露於網路攻擊之中。
「這也代表了,當使用者拿著自己的行動設備進入職場的同時,也為駭客開啟另一個潛在的攻擊路徑。」他指出,智慧型手機的相機、麥克風以及錄音功能看來無害,但其實都可能成為一個理想的捷徑,讓駭客可以輕易地獲取企業的內部訊息。
雲與端都是防禦重點
雲與端的發展正如火如荼,而雲端所衍生的資訊安全也是今年的防範重點。在雲的方面,網路犯罪者將大量濫用雲端服務進行犯罪活動,去年以來,包括部落格、Facebook、Twitter、Dropbox、Amazon等等都曾經發生資安事件,這也證明了雲端已經可以被充份利用,作為駭客入侵的工具。
「雲端是駭客的天堂,由於可以部署很多駭客工具以入侵目標,因此已經可以很明顯地看出,2013年網路犯罪可能會大量濫用雲端的服務。」趨勢科技業務部資深經理吳韶卿指出,就目前來看,雖然企業對於公有雲服務運用日漸普及,但是在雲端服務的安全意識也是相對較為薄弱,「不少企業員工已經開始使用公有雲服務,像是Gmail、Dropbox等,然而不同的產業對於管控的政策可能不同,有些企業會允許員工使用,有些則比較嚴格全部封鎖,為了防範其安全性,企業最好可以擬定比較明確的政策,或是找尋合適的管控工具導入。」
|
▲「Android Express’s Play」的假冒應用程式商店在一週內吸引超過3,000次的造訪,可能遭竊的個人資料達7萬5千筆至45萬筆。(資料來源:賽門鐵克) |
至於在端的部分,由於目前的使用者擁抱很多各種不同的行動裝置,而這些裝置的複雜度也愈來愈高,以往企業的管理人員只要管理電腦、筆記型電腦等等,現在則有各式平台需要管控,安全管理也就成為一項挑戰。再加上,手機、平板等裝置上惡意高風險的APP也不斷增加,預計在今年底,會突破百萬數字,因此建議最好還是有些資訊安全的防範措施或是安裝工具等措施。
吳韶卿建議,企業不能再採取消極的態度當作沒看到,矇著眼睛不處理其實非常危險,再加上現在已經有很多工具或解決方案都已相當成熟,可以提供企業一定的協助。「首先要從政策面開始做起,即使有些企業已經明定,完全不能攜帶行動裝置,這也是一種政策。不同的產業有不同的政策制定,外勤業務比較多的行業,例如保險業,企業可能就得多開放一點,讓業務使用增加競爭力,對於比較靜態製造業的產業,例如工廠等等,就採取比較嚴格的策略,例如有照相手機或是智慧型手機都不能攜帶等等。」