帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
企業建置資安防護措施刻不容緩
資料外洩日漸增長

【作者: Eric Yang】   2020年06月15日 星期一

瀏覽人次:【4468】

就網路安全而言,2020上半年相當有意思,這半年內發生了許多資料外洩事件,人們因此越來越重視網路安全的重要性,或許也讓業界人士開始正視這方面的問題。


今年下半年還會如此嗎?企業是否會開始積極採用專業資安人士多年來談論不休的解決方案呢?時間會證明一切,不過,我們也發現駭客改弦易轍的可能性極低(既然有用又何必改變呢?)。他們的手法會隨著科技的發展而更加複雜高明,而且目標會隨著可用資料所在位置而調整(例如,既然美國地區的ISP能利用客戶的資料賺錢,這裡成為駭客下手目標的可能性就很大)。不出所料......這會導致我們最需要擔心的網路安全問題。


資料外洩


圖一 : 駭客的手法隨著科技發展而更加複雜高明,2020下半年可能會有更多的公司運用AI/機器學習偵測及防堵威脅。(source:Information Age)
圖一 : 駭客的手法隨著科技發展而更加複雜高明,2020下半年可能會有更多的公司運用AI/機器學習偵測及防堵威脅。(source:Information Age)

遭駭客盯上的公司持有珍貴的資料,也就是具有販賣價值或可以當成勒索籌碼的資料,因此,自然容易發生資料外洩問題。資料庫是容易吸引網路罪犯下手的目標,因為網路罪犯擅長迅速利用人為錯誤和其他漏洞,比方說,他們會用無辜資安人員同樣也用的入侵檢測工具,將修補軟體的時間往後延。今年,這一點恐怕也不會有太大的改變。


不過,今年企業已開始全面實施諸如歐盟 GDPR 之類的監管法規。我必須特別強調,除了少數例外,不在歐盟境內的公司行號也必須遵守規範。加州消費者隱私保護法(California Consumer Privacy Act;CCPA)幾乎是美國版的GDPR,此項法案已經在 2020年1月生效。另有幾個國家/地區已經採行了類似的資料保護法,要求公司行號重視營運作業中的資料隱私權及相關網路安全流程。公司行號之所以會照做,絕大部分是因為擔心資料外洩導致聲譽受損,也怕遭到罰款。可惜,資安技術的不足往往導致資料外洩防範措施窒礙難行。


網路安全技術

網路安全人員是個供不應求的職務。業界普遍認為,在2021年來臨之前,全世界將出現超過 350萬個網路安全人員職缺。僱主們會不會願意在今年投入時間與精力對既有的資安人員進行訓練,以利他們掌握更多資安技術呢?也許,僱主會降低准入門檻,讓已經具備一定IT技能的人員接受再次訓練,瞭解需要強化的資安領域?


公司行號也有可能會選擇外包,付錢找人在遠端加強公司的安全防護措施,或者運用基於AI的軟體解決方案進行漏洞評估。


如果要我預測......我雖不是預言家諾斯特拉達姆斯(Nostradamus),但我認為,許多公司行號仍然不會大手筆投資在員工身上(當然也有可能單純是因為預算短絀),原因也許是企業擔心員工受訓後變得更搶手,因而有機會另謀高就。但願事實並非如此,不過我相信,重視員工的公司一定會加強訓練。倘若公司加強訓練,可以選擇的國際認證有很多。


無論如何,每家公司都需要透過增聘員工、訓練在職員工或外包等方式加強網路安全。


網路安全是一項炙手可熱的技術,可以算是鐵飯碗,但在很大程度上,高層主管仍承擔著風險。一旦發生資料外洩,「辭職以示負責」或遭到解僱的往往會是資訊長(CIO)或資安長(CSO)。試想,若員工容易成為網路釣魚或勒索軟體攻擊的受害者,並且管理者得上斷頭台當犧牲品,那麼在中層資安員工眼裡,哪還會有爭取擔任主管的動力?


2020年開始,發生資料外洩事件時,會不會讓該直接負責的人承擔責任,而不會再為了控管損失而讓高層主管出面扛責,這是企業該思考的問題。


端點管理

公司建立的端點越多,網路罪犯有機可乘的攻擊漏洞就越多。很合理,但怪怪的,對吧?


‧ 如果採用雲端解決方案,就容易遭受雲端攻擊。


‧ 如果想在公司裝設支援網際網路的裝置並全面採用「智慧技術」,也就是讓所有裝置都連上物聯網(IoT),就會製造更多令駭客覬覦的漏洞。如果裝置未採取安全防範措施(例如使用不能更改的預設密碼或配對PIN),或者使用易遭攻擊的網路通訊協定,風險自然更大。


‧ 如果允許員工使用自己的行動裝置,卻未做好行動裝置管理(MDM)工作,就會製造出漏洞,因為IT人員無法全面保護公司資料,或者沒有辦法在裝置遺失或失竊後清除裝置上的資料。Kaspersky在2019年進行過一項調查,發現有半數組織曾經因為員工自備的裝置出現惡意軟體而遭到入侵,因此,此問題將成為今年值得重視的一大問題。


今年開始,希望公司只新增維持業務運作所必需的端點,並且願意重新斟酌 BYOD 的優點。


認證管理

傳統的使用者/密碼驗證方式本來就有弱點,因此,預計新一代的驗證技術會更加先進。其實有許多可行的選擇,多重要素驗證和生物辨識只是其中的兩個例子。請注意,要規避臉部、語音和指紋辨識機制並不難,更改密碼或Token的問題遠不如資料外洩嚴重。運用網路Token和類似的方法也可行,但是,這些方法全都是錦上添花,前提是進行這類驗證所需的資料本來就安全無虞。駭客會利用這些資料規避驗證機制。


風險管理

我的最後一項預測涉及風險管理。資料外洩現象越來越頻繁普遍,目標產業內的公司即便遵循安全防護最佳實務,往往還是容易因為駭客對其網路進行的集中攻擊而遭到入侵。要降低資料外洩引發的財務風險,投保網路保險是其中一種方法,而監管法規不分管轄區,只要不遵守,就有可能遭到罰款,因此,投保網路保險現在更成為越來越重要的趨勢。


我相信,網路保險投保的發展今年會水漲船高,如果保險公司提供的保單能證明他們對於網路安全態勢及公司所面臨的相關威脅暸若指掌,自然會更搶手,但若這類保險只理賠服務中斷或設備故障損失,保障絕對不夠。網路保險越普及,投保成本就該越低......當然,保費高低取決於公司現行的安全防護措施,且承保網路風險也有其難度,因為相關變數實在很大。


結論


圖二 : 網路安全對公司而言只會越來越重要,所有會連上公司網路的人員都必須加強安全意識。(source:https://techthusiast.net)
圖二 : 網路安全對公司而言只會越來越重要,所有會連上公司網路的人員都必須加強安全意識。(source:https://techthusiast.net)

總歸一句話,網路安全趨勢預測純粹只是預測。關於安全意識訓練不足/人為疏失導致公開的資料外洩這方面,變化應該不會太大。今年,主要差別在於客戶現在會認為自己的資料已受到妥善保護,也樂見沒有做好安全防護措施的公司受罰。公司行號或許應該重新評估應該儲存多少與使用者相關的資料,以及應該將這類資料儲存在何處......。


2020下半年,可能會有更多的公司運用AI/機器學習偵測及防堵威脅;屆時,駭客也會運用 AI 技術開發出新的攻擊方式。遊戲還是要繼續玩下去......無論今年發生什麼事,有兩點是不爭的事實;網路安全對公司而言只會越來越重要,而且所有會連上公司網路的人員都必須加強安全意識,因為網路釣魚和勒索軟體攻擊將會越來越複雜難解。


(本文作者Eric Yang為Progress Software 公司銷售經理)


相關文章
智能設計:結合電腦模擬、數據驅動優化與 AI 的創新進程
生成式AI與PC革新
機器學習可以幫助未來的癌症診斷
防止資料外洩 製造業檔案加密怎麼做?
資料科學與機器學習協助改善頸部損傷評估
相關討論
  相關新聞
» 智慧住宅AI科技上線 開創智能服務新體驗
» 報告:企業面臨生成式AI詐騙挑戰 需採用多層次防禦策略
» 精誠「Carbon EnVision雲端碳管理系統」獲台灣精品獎銀質獎 善盡企業永續責任 賺有意義的錢
» 善用「科技行善」力量 精誠集團旗下奇唯科技榮獲「IT Matters 社會影響力產品獎」
» 《2025全球資安威脅預測》威脅手法將更強大複雜 挑戰資安防禦極限


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.217.3.138
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw