資料外洩事件層出不窮,駭客或惡意人士在利益驅使下,會用盡不同方法嘗試入侵內網,加以BYOD盛行,資安控管政策卻來不及跟上,加密機制已成為最後一道防線。
SafeNet資料保護方案因應現代化IT應用模式改變,逐步擴大可提供保護的範圍,包括檔案、資料庫、儲存、虛擬環境甚至公有雲服務,皆有相對應的控管措施。
|
▲SafeNet資料保護方案資深副總裁兼總經理Prakash Panjwani建議,歐美國家安全意識較高,仍接連爆發重大資料外洩事件,台灣企業可為借鏡,藉此學習並及早預防,以降低類似狀況發生。 |
SafeNet資料保護方案資深副總裁兼總經理Prakash Panjwani指出,現今駭客入侵手法相當多元,像是美國零售業者Target的資料外洩案例,主因是POS主機遭受惡意程式入侵,進而盜取大量消費者的信用卡資料。他認為,面對駭客多變化的攻擊手法,企業對於資料保護的心態應該要有所轉變,現有的防護技術已被多次證實不足以防護,須從管理面嚴格把關,首要是接受資料外洩存在的現實,並更新資料保護政策;其次是明確定義保護標的;最後才是實施控管措施。
實務上應有的作為,Prakash Panjwani建議是直接針對防護標的予以加密,像是信用卡帳號、公司營運的機敏資料,可能被存放在應用程式、檔案伺服器、資料庫、已歸檔的儲存環境,或是新興的雲端儲存中,便須在防護標的應用環境建立加密機制。而加密後的金鑰管理同樣是不可忽視的環節,尤其是在公有雲的多租戶應用模式下,掌握金鑰的控制權才可確保檔案存放在雲端的安全性。另一項重點是存取控管機制,從Target的案例發現,公司外部人員接取內部網路亦可能導致資料外洩,在評估資安防護時不可不慎。
至於日前OpenSSL出現Heartbleed重大漏洞(編號CVE-2014-0160),可能造成資料外洩,傳出加密機制因此受到安全性質疑,Prakash Panjwani認為,「以往有類似事件發生時,都是由開放陣營的資安專家發現後通報各個採用此技術的廠商,及時予以安裝修補程式。這次事件較以往不同的是,在還沒有通知相關廠商之前,消息就已外流並開始被討論,才會被放大檢視。實際上很多公司都早已快速地做出相關回應。」
Prakash Panjwani指出,該漏洞並非通訊協定本身,或SSL演算法出現問題,而只是在實作上產生漏洞,也已立即釋出更新修補程式來解決。就正面來看,漏洞很快地就被社群發現,並及時提出修補程式,亦可代表該維護的社群很積極在維護,不應由單一事件否定技術本身的安全性。