Yahoo奇摩新聞 KPMG安侯建業專欄-CEO也要了解的網路安全知識
工商時報【謝昀澤】 在KPMG 2018年全球調查中顯示,有33%受訪企業,過去兩年曾發生過具體的資安犯罪事件(由2014年的22%逐年攀升)。但仍有64%的受訪企業,對自身的資安很有信心,從報告結果的數據進一步分析,這些企業,主要信心來自於組織本身過去未蒙受重大資安損失的經驗。但依據近年國內、外多家過去未曾有重大事故的金融與高科技業資安優等生,陸續遭遇駭客攻擊或大規模病毒事件,如晶圓廠的大規模病毒癱瘓事件、核心金融系統遭到駭客入侵轉帳事件等,經過深入分析後發現,惡意攻擊的進化程度,已經遠高於企業現有的防護能力。只要被駭客挑上的企業,面對這類針對特定企業具備變種、演化、持續性、滲透性及客製化特色的攻擊,過去的經驗值與信心,不再是未來企業數位科技應用的安全保證。 面對企業經營者或投資人對網路安全的關切,企業內部的資訊專業主管,通常會以現有的防禦系統,做為安全防護的回應。如企業已採用防火牆、防毒軟體等工具,或在智慧工廠、SWIFT(環球通匯網路)等重要系統,已進行內外網路隔離,將這些需要強化防護的網路與一般對外上網的企業網路斷開等「封閉式網路架構」。 不可否認,封閉式網路可以解決不少的資安管理問題,但以近幾年於產業所發生的駭客攻擊實際案例來看,內外網隔離並無法做為安全的保證,採用封閉式網路的企業,更要注意下列五個常見惡意程式入侵點,並特別進行惡意程式過濾: 1.惡意程式經由系統維護作業所使用的光碟或USB 2.系統採用的原始安裝映像檔(Image File)或更版程式,遭惡意程式感染 3.惡意程式經由系統監控管道進入 4.惡意程式經由病毒派送管道進入 5.內部網路因維修或其他原因私下保留與外部網路連通之管道 除上列網路安全風險外,近年來不分產業的大規模的入侵事件,也發生過使用病毒入侵製造系統當機讓資訊部門處理混亂狀況的「佯攻」手法,在相同時間進行其他更為嚴重的營業祕密竊取或財務盜轉的駭客行為,足證現今的駭客攻擊,已經是透過精心設計的手法與複雜的組合進行,所有產業面臨的挑戰將更為嚴峻。企業在發現單一的病毒問題處理時,特別應該謹慎處理,必須審視內部網路安全是否存在潛伏危機,不要等到病毒跨區域的大規模感染現象,才後悔莫及。 建立一套更完善的資安風險評鑑與SOP(標準作業流程),並積極落實,是多數企業從相關產業事件中所學到的教訓。進一步,已有國內外重視營運風險的企業,依據風險評鑑結果,在高風險領域,投資各項自動化的資安設備,更可以積極著手規劃以紅軍攻擊的概念,由獨立或委外單位,以模擬攻擊的方式核實且驗測企業中目前資安防禦的狀況,並將結果呈報于經營團隊據以改善,亦是值得企業參考的做法。(本文作者為KPMG安侯建業數位科技安全團隊負責人)
