雖然比全球其他地方晚了一年左右,但台灣在今年5月中也無可避免地面臨新冠肺炎疫情升溫的危機,而居家工作(Work From Home, WFH)也成為各大企業在今年數位轉型的一大重點,如何讓員工在散落於各地的同時,維持在同一辦公空間時協同作業的高效率,相信也是許多公司所關心的,但對於企業而言,原本員工在企業辦公室內可以有效控管資訊與網路使用上的風險,但當員工身處於公司之外,就可能為企業帶來新的資安破口,令人防不勝防!
經濟部工業局為了協助企業在疫情期間提升 WFH 的資安防護能力,舉辦「疫後新常態,WFH 資安怎麼做」線上研討會,請到五位資安專家為大家分享五大WFH 必知的資安議題,引發廣大的迴響。小編為大家帶來這場活動的精華內容整理,想要了解企業在遠距工作模式下會有哪些常見的資安風險?又該如何因應?最實用的內容都在接下來的報導之中,也可以直接觀看下方的線上研討會影片。
人,終究是最大資安破口!面對社交工程詐騙如何提升防護能力
講師:精誠資訊經理 廖本凱
根據 2020-21年的 CIO 大調查中的數據指出,企業普遍認為「社交工程網路詐欺」是資安威脅中最難以防範的企業隱憂,主要原因在於,其他的資安問題都有對應的防護系統或工具可以有效降低相關問題與損失,但唯獨社交工程網路詐欺的問題都是來自於員工對於資安風險的輕忽所導致,因此廖本凱經理建議企業需要長期與定期進行「資訊安全意識演練(Security Awareness Training, SAT)」,培養員工應有的資安認知,以達到隨時提高警覺的效果。
以國內對政府與金融機構單位的規範來說,SAT 每年 1 到 2 次的資安意識培訓合乎規範,但放眼國際標準,有高達 84% 的企業每年會進行 4 次以上的資安意識培育,甚至最多有到一年 24 次之多,以持續宣導來加強員工對於相關議題的重視,建立所謂的「人因防火牆」,以防止駭客繞過企業其他的資安防護機制,直接攻擊員工造成損失的可能性。
而建立人因防火牆最主要的就是透過經驗傳授、測驗評估、實驗觀察與檢驗執行這四個階段的正向循環來改善人因風險,而這些流程也都能透過線上方式來進行,符合疫情期間 WFH 的大原則;此外,導入 SAT 也能為企業帶來「員工長期養成資安意識」、「減少 IT 單位社交演練作業負擔」和「與國際資安框架與規範接軌」的三個效益。
VPN是公司內網防護的萬靈丹?關鍵風險揭露與因應之道
講師:中華資安國際資安顧問 謝正豪
由於網際網路是公開給所有使用者使用的場域,當然也包括會造成資安危害的駭客,因此為了讓員工可以更安全地存取企業組織內網的資訊,企業通常會使用 VPN(Virtual Private Network, 虛擬私人網路)的方式建立一個安全雙向加密連線通道,以防止未經授權的使用者存取。
但若是員工使用環境有安全疑慮,甚至裝置有安全性問題,也都有可能造成 VPN 機制的風險破口,更不用說以帳號密碼認證為機制的方式,若是員工帳密外洩,也將讓 VPN 成為虛設。相對的,若企業端的設備受到駭客攻擊,或通道使用 PPTP 或 L2TP 這類安全強度較低的通訊協定,或加密法的強度較低,也可能成為 VPN 機制的漏洞。
謝正豪顧問提出了風險應對的建議,包括針對 VPN 閘道/裝置搭配資安設備聯防-包括防火牆、IPS 與軌跡記錄監控,以及定期進行系統的漏洞檢查與修補,另外通道技術會建議選用較新的 IPSec 或 SSL VPN,並在加密演算法進行通訊端的強化,同時也需要搭配使用者分級分權管理。另外在員工的端點裝置方面,也務必要遵守使用公司配發設備,或針對使用者常用的行動裝置安裝企業端管理軟體以完善管理,同時做到防毒防駭與身份驗證強化。
勒索軟體肆虐多年仍不衰?攻擊手法變遷與防駭必備策略分析
講師:DEVCORE執行長 翁浩正
過去大家熟知的病毒、惡意程式…等資安攻擊手法,目的多半是造成受感染者在電腦資料方面的損失,或是達到資料竊取的目的,但近幾年來肆虐全球的「勒索軟體」卻是直截了當訴求其「獲利」的目標。翁浩正執行長提到,現在應該將勒索軟體看成是一種「攻擊手法」甚至也可能成為駭客「掩蓋目的」的一種方式,像是以偷取資料為目的的駭客,就可能利用勒索軟體的手法,一邊竊取資料一邊加密資料,轉移企業的注意力,而忽視了內部主機被入侵的問題。
大多數公司會針對駭客入侵的「Initial Access」去作防範,但事實上企業更應該詳細了解每一個階段中應該要做到的防範措施,並進行 SOP 的建立,來擬定全盤的資安防護佈局。不過並非所有的企業都能做到所有階段的全盤規劃,因此翁浩正執行長也推薦大家可以採用「OWASP Cyber Defense Matrix」的這個圖表(如下圖),來檢核所有資安防禦的策略,透過 X 軸的五個攻擊階段與 Y 軸的企業資訊資產的對照,來找出所有防禦任務並排定先後順序與細節。
翁浩正執行長也提到,企業防範勒索軟體最大的重點在於「阻斷攻擊鏈」,而非把焦點放在勒索軟體本身,另外平常就需要時時檢查資安策略上是否未落實或可能的風險,畢竟資安漏洞是不可能不存在的,除了漏洞管理,更需要用各種方式來降低風險。
「零信任」打造萬無一失的資安防護區域信任機制
講師:TXOne Networks協理 許育誠
Work From Home 成為企業常態,也產生了員工們的「行為改變」,許育誠協理提到,若是從攻擊者的角度來看,使用者家中的連網裝置變多了,也讓攻擊者有更多入侵路徑的選擇;此外,使用者因為遠距工作的需求,使用了很多企業之外的 SaaS 服務,相對也更容易造成資料的外洩,讓駭客透過暗網搜尋到相關資訊,成為破解企業 VPN、RDC / RDP 遠端桌面連線的基礎,以「撞庫」方式入侵。
企業較為傳統的資安防護觀念為了兼顧管理便利,會將重點放在防火牆外的防禦機制,只要駭客能進入到信任區內就可以如入無人之境,造成更大的受害面積,受攻擊之後恢復時間也更久;也因此「零信任」的防禦機制就是全然相反的防禦策略,在整個資訊架構中沒有所謂的信任區,登入任何一個伺服器都會被要求驗證,對於使用者與管理者來說會比較麻煩,但相對從資安的角度來看,攻擊者的橫向移動難度變高,同時也能有效縮減受害面積,攻擊後的恢復時間也更快。
至於如何在 WFH 狀態做到零信任管理呢?許育誠協理提出三個建議,第一個就是在帳密管理方面提供額外的防護,另外也需要開啟 MFA 多重驗證機制,還有就是需要檢查員工家中的路由器設定,是否有開啟訪客網路,或是確認是否有不明裝置連網,同時也可利用免費的掃描 App 如 Fing 來進行定期的檢查,透過這幾種執行起來不算麻煩的動作,就能有效提高員工在家上班的資安防護能力。
雲端時代,資料安全需要新觀念與新技術來守護
講師:博斯資訊安全創辦人兼執行長 黃啟誠
對於企業而言,尋找安全有效的資安防護方案的同時,如何兼顧成本控制或創造資安支出的價值是一大重點。對於這一點,黃啟誠執行長分享了目前科技界極具潛力的「區塊鏈」技術,因為本身有去中心化、不可竄改的共識機制與時間戳的特性,都非常適合應用在資安領域。
因為區塊鏈將檔案「化整為零」的做法,再加上私鑰的防護機制,即便駭客成功竊取你的資料,也只是獲得檔案的「碎片」而無法還原,而這也打破了傳統資安防護原有的概念,在資料上額外做深一層的處理。此外,區塊鏈的技術也能讓重要文件的存取能夠「可控」,過去可能有合約明定資料的使用期限,但在資料交付的同時,其實資料的所有權就已經屬於對方且不可逆,而透過區塊鏈可做到將重要資料先存放在第三方不可控制的環境,再透過金鑰授權的方式提供檔案存取,而金鑰本身是可設定存取權限與時間點的,時間到期後就無法再使用,達到資料安全轉移的目的。
過去企業在評估資料防護時,多半將重點放在身份驗證的機制上,但事實上資料本身的保護才是重點,即便駭客成功進入到你的資料儲存空間,也無法真正盜取資料。而黃啟誠執行長也建議,對於企業資料應該要有妥善的分級概念,真正的機敏資料也不該儲存至雲端,就像你不會把貴重的黃金、鑽石放在倉庫裡一樣。
小結
從此次研討會裡面五位專家的分享中,我們不難看出,疫情推動企業數位轉型的腳步加速,針對像居家辦公這樣的企業營運方式,也免不了產生新的資安問題,而企業也應該更重視這些新問題的「補漏」。當然,原本就對企業造成威脅的資安問題如勒索軟體,也會是大家需要持續關注的議題,包括讓駭客很省力但是成效大的社交工程詐欺,需要企業做好 SAT 來降低風險,而 WFH 少不了的 VPN 也需強化防護,另外企業內網權限採用「零信任」架構也是重要的趨勢。當然,除了做好防堵入侵的任務,駭客最主要的目標「資料」也需要進一步思索額外的加密機制,以成為資安守護的「最後一道防線」。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!