不論是加密勒索軟體無差別地攻擊防護能力相對弱勢的中小企業、運用中間人攻擊概念發動企業電子郵件詐騙(Business Email Compromise,BEC),抑或是針對防禦等級較高的大型企業組織,設計縝密的滲透入侵策略,竊取具經濟價值的機敏資料,再透過地下犯罪市場販售變現,今日的資安威脅型態早已轉向以謀取利益為目的。
由於現代組織高度仰賴網路來提供業務服務及提升運作效率,在無法完全迴避風險的狀況下,各種機關行號需要從各方面強健資安體質,以建立因應科技犯罪組織多變手法的能力。
過去在法規遵循的驅動力之下,所造就的資安服務供應商,亦隨之必須具備充足的技術能量,才能協助企業或組織經由網路掃描檢測、滲透測試(Penetration Test,PT)、弱點掃描(Vulnerability Assessment,VA)等方式,及早修補可能被犯罪攻擊利用的弱點,讓資安風險不至於失控。
社交工程演練強化資安敏感度
中華電信資通安全處處長洪進福指出,所謂的資安風險,可視為是威脅、弱點、影響程度等三種變數相乘後的結果。其中的威脅,主要是著重於內部員工產生的內部威脅(Insider Threat)以及外部攻擊者,特別是隨著時間不停地變化,以前較少見的APT、DDoS攻擊,近年來已發展成為相當普遍的攻擊手法,皆屬於威脅。
至於弱點則包含資訊系統與人的行為,這才是企業或組織得以施力之處,藉由建立控管政策、資安軟硬體設施、教育訓練與宣導,來強健資安體質,才得以在外部攻擊威脅及IT應用模式都不斷快速變遷的時代,讓風險降到最低。因此資安敏感度較高的產業,例如金融業,本就有要求須定期執行滲透測試、弱點掃描等檢查,且必須由第三方公正單位,依據OWASP、OSSTMM(開放源碼安全測試方法手冊)、NIST(美國國家標準技術研究院)等國際組織制定的規範為基礎實施。
但是「人」的部分,可說是資安最脆弱的環節,至今仍有許多攻擊受害事件皆指向員工資安意識或警覺心不足所導致,洪進福亦指出,從近期發生的資安事件來看,特別是具針對性的APT攻擊,有高達八成是透過郵件以社交工程手法來發動。既然多數攻擊事件都是經由社交工程郵件,誘使人觸發攻擊系統漏洞的執行程序,自然會有更多企業組織在資安管理政策中,除了教育訓練與宣導以外,再加入社交工程演練,以實際的攻擊與防禦演練,來提高人員對於資安的敏感度。
資安檢測勿淪於報表 強健體質才是關鍵
其實國內的資安採購需求,除了實際發生資安事件的亡羊補牢之外,大多來自主管機關要求。安資捷執行長陳勇君觀察,目前多數企業主的思維是首先要能夠維持營運,因此必須先取得主管機關核准,例如銀行業之所以投入大量資源建置資安防禦體系,並且定期由外部資安服務廠商執行檢測,主要即是金管會的要求。
近年來國內的資安服務蓬勃發展,根本的主因是來自行動化應用、資訊系統App化。陳勇君指出,傳統產業紛紛開始發展電子商務,高科技產業的上下游溝通聯繫也逐漸轉向行動平台,多數企業都能理解,即便資安技術再強大,也無法保證百分之百安全,因此現在企業的資安理念已經從過去防禦外部威脅,轉變為與攻擊者共存,但並非不處置,而是設定資安門檻,基於合理的比例原則,適度執行降低風險的措施。
台灣一般企業長期以來並未配置專屬資安職務的人才,多數得仰仗外部資安專家協助,又無力投資建置市面上高端的技術產品,因此資安服務勢必也隨著客戶需求程度差異而有所區隔。
就法規面來看,在主管機關要求定期執行健檢、滲透測試、弱點掃描等項目的評估報告之下,通常會出現業主為了合規而繳交報告,完全忽視執行過程,更遑論改善自身弱點。洪進福認為,此為資安認知的問題,強制執行的演練與檢測,目的是為了釐清自身的弱點,進而改善、強化,如此的思維邏輯才有幫助。可惜從企業實際因應方式來看,特別是金融業,最低價格標的狀況屢見不鮮,因此國內小型資安服務公司相當興盛,只求以最低成本執行主管機關要求的檢測,能產生出合規性報表即可,如此作法正是將企業組織的資安風險推向失控狀態的主因。
產業資安意識增長 專業技術人才熬出頭
在遊戲業累積豐富資安實戰經驗的果核數位,近年來跨入資安服務領域後亦發現,「資安服務常遇到的狀況是客戶端要求『調整』報表數值,以粉飾太平,免於被稽核糾正。」果核數位總經理丁瑋明指出。其實台灣的資安問題,並非欠缺有效的技術輔助,而是企業無力負擔昂貴的資安建置,因此產業發展的樣貌就會偏差,例如廠商提供的弱點掃描、滲透測試服務,皆淪於價格戰。然而低價砍下的專案,執行方面自然很難有高品質的技術能力與服務質量,可能僅仰賴一套自動化工具產出報表即完工,找到的問題交由客戶自行解決。
「過去大環境長期以來忽視資安的思維,讓服務產業變得廉價。其實資安服務是專業程度相當高的行業,且需求量理應較現階段更大,可惜本土環境長期以來並未善加培養專業素養。」丁瑋明觀察。如今在外部威脅的壓力下,像是政府組織的核心單位已經開始制定嚴謹的資安服務規範,但多數廠商長期以來並未累積經驗,自然無法落實應有的作法。以技術能量來看,即便是在台灣已提供服務多年、名號較響亮的資安監控中心(SOC)廠商,也未必有能力執行更深入的資安服務。所幸民間還有類似台灣駭客年會(HITCON)社群,聚集一群有技術、肯分享的白帽駭客,持續地在本土推廣,直到近兩年也開始被產業所重視。
12年來台灣駭客年會幕後推手之一的戴夫寇爾(DEVCORE)執行長翁浩正即觀察到,以往企業主通常會先追求營運績效,之後才處理資安問題。不過近年來已開始有新創公司,在產品上市或網站服務上線之前,會尋求外部專家執行滲透測試,先確認產品或服務的安全性,以免日後發生資安問題影響商譽,觀念較以往大不相同。
以整體面來看,翁浩正認為,企業對於資安的重視程度已有逐漸往上提升,再加上政府及公協會的政策宣導,近期產業對於資安議題皆相當看重,如此一來,自然會推動本土資安往正確的方向發展,打破以往因陋就簡的資安觀念。