每次一有重大的資料外洩事件,就會出現大量媒體競相報導其所造成的損害,然而,大多數資安人員真正想知道的是導致資料外洩的原因。身為資安主管,當然知道其損害可能包括機敏資訊遭竊、罰款或訴訟、甚至喪失工作,但對於他人事件前因後果的了解,更有助於所有資安人員填補自身組織的安全漏洞。
五大商業理由
針對企業組織為何出現系統化資安防護失效,筆者找出了十大理由,可歸納成二大類,包括商業性和技術性的理由。首先來看看商業面的原因有哪些:
1· 對資安的角色任務欠缺了解
便利性往往拖垮了安全性。很多時候,營利計畫例如銷售與行銷,都會傾向於捨棄安全性。究其原因,就是我們欠缺做出適切解釋的能力,無法讓人們了解安全性是一項商業問題,並且需要由組織從上而下落實必要的措施。為了改變這一點,資安主管需要主動參與公司的產品/服務開發週期,並以一種與利潤/營收相關的策略性方法整合安全性。安全智慧需要成為一種商業智慧。
2· 實際上只做法規遵循
由於規範資料安全的法規越來越多,因此我們的很多預算和思維程序都環繞著這些計畫需求,而非資料本身的保護。我們的方法往往過於著重法規遵循,而不是針對風險因素。
事實上,在很多情形下,唯有那些與特定法規遵循計畫相關的系統才會進行改善。其他系統則形同坐以待斃,讓入侵者得以輕易地存取網路。然後,只需要在網路上遊走,或者提升權限就可以取得資料。
網路區隔化通常起不了作用,因為在網路一端的使用者或許也同樣可以存取另一端,或者他們可以藉由竊取權限,輕易地複製成另一端的某位合法使用者。
同樣的,這問題的解決方案取決於我們和公司經營階層的溝通。
3· 安全性非以資料為中心
這是上一個問題的延伸。大多數組織傾向於在他們的計畫增加基礎設施和方案,而沒有真正考慮面對今日挑戰的效率問題。很多時候,內部資安團隊仰賴安全方案廠商提供教育,甚至連鑑識報告都來自廠商。重要的是,必須找到正確的廠商。確切而言,就是要尋求能夠針對今日即時威脅提供防護的資料保護專家。
我們要如何解釋為何大部分的預算都被投入防毒與防火牆方案?儘管防毒與防火牆方案仍將在業界維持扮演一定的功能角色,然而它們在面對今日威脅很明顯力有未逮,將使得它們在明日的安全架構中被降級到較小和較不重要的部分。
4· 過度看重技術
身為領導者,我們需要推銷我們的概念。技術本身只是一種急救手段。如果想建立完備的IT安全性,就必須整合公司治理與程序以確保成功。IT安全團隊希望從技術問題角度來看待企業資安,但單獨憑藉技術的結果就會遺忘人的因素和程序。不可避免的是,安全必須成為企業文化的一部分。
5· 發揮人才和知識優勢
這一方面是和威脅認知教育有關,不過還有其他更多因素。許多使用者真的不了解他們所利用的資料有何價值,因此單方面的認為有其他人正在維護其安全。這主要是因為他們並不必然了解他們在資安上扮演的角色功能。
必須進行公司上下和跨部門教育。所有的員工,從董事會到客戶服務,乃至於你的部門,都應相互了解安全部門的任務和策略。
促進此一了解的方法之一就是入侵你自己的組織——當然要獲得管理階層的允許。這可以測試員工對於現有威脅的知識,包括如何找出威脅,而你也可以藉此了解他們將如何回應。另一個方法是挑戰你的服務支援中心(Helpdesk),了解如何在他們重設程序中竊取密碼。這可以辨識潛在的誤用與惡用,也可以教育他們認知外界威脅。然後測試、測試、再測試。
五大技術理由
當然,除了商業面的因素之外,也有許多屬於技術面的結構性問題,往往導致現有的資安防護系統失效:
1· 傳統技術與新工具
公司面對的最大挑戰之一就是必須處理那長久以來歷經多人拼湊而成的基礎設施。為了跟上新興技術的發展,我們很多人一直以來都聚焦於基礎設施的建構,而非以資料為中心。我們過度聚焦在那些方案上,而忽略了我們需要保護的對象。此外,諸多工具可能導致部署上的不一致性並且浪費時間。因此,我們應該由專門的團隊處理這方面的工作,而讓其他人可以專注於策略計畫與產品。
2·難因應資料無所不在
另一個需要遠離基礎設施方法並轉向以資料為中心的理由就是,我們的資料隨處分散在今日的行動與雲端世界。當那些以階層式方法建立的防護因為行動運算和資料激增而被孤立時,更多的基礎設施未必有助益。
3· 安全技術跟不上新興發展
沒有資安主管能擁有無上限的預算。就算是有,我們在採納新技術以及最終安全方案的開發上經常都會有所延誤。除了少數例外,安全方案幾乎都跟不上威脅的演進,而且這個鴻溝很難縮小。今天多數方案在涵蓋面上都有缺口(例如行動使用者),無法深入檢視一些盲點例如https或私有VPN,仰賴過時的跡證卻欠缺行為分析能力——然而,這才是真正應該著重的部分。
4· 多數安全系統沒有學習能力
威脅不斷變化和演進。不幸的是,許多傳統安全技術的發展無法跟上這些威脅的進化。如果惡意人士改變程式碼,他們就可以迴避偵測。也因此大多數防火牆和防毒方案難以有效率面對今日的威脅。此外,如果它們缺乏能即時進化的學習系統,即無法處理一些新型的混淆威脅,留下過多永遠不見天日的黑暗角落。
5· 欠缺整合能力
安全性在許多情形下都過於複雜,特別是如果你有一大堆安全功能連結到你的網路。各種功能存在一些重疊性,但並沒有因此使得這樣的組合變得更強固,原因是它們無法相互分享資訊。我們需要找出方法將我們的安全計畫建置成一個單一作業窗口。理想而言,它應該整合那些收集自諸多安全產品的情資。這項通訊能力有助於資安團隊將資料轉換成智慧並做出正確的決策,以建立和實施高效率的政策。
若要從一個安全營運部門轉變成一個安全智慧團隊,你需要有能力分析資訊並利用你所發現的結果。這項智慧將協助你建立一個策略性的計畫以防護你的組織,最終設計一個足以保護組織免於資料外洩與竊取的安全計畫。
<本文作者莊添發現任Websense台灣區技術總監。CISSP國際資訊安全管理師認證,美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士。著有《WiFi Hacking! 無線網路駭客攻防戰》。主攻領域為企業資安防護規劃、資料外洩防護、網頁安全、風險管理與弱點評估、攻擊與滲透測試及無線網路安全,曾擔任Foundstone Ultimate Hacking 講師於亞太區六國十餘個城市開課。>