藉滲透測試知己知彼 昂然面對駭客挑戰
- DIGITIMES企劃
-
綜觀近兩年全球資安事件,不難窺見箇中的趨勢脈絡,便是攻擊的規模愈來愈大,而攻擊者在行動過程中所動用的資源部位,愈來愈豐富,攻擊手段也愈來愈精巧細緻,顯見現今駭客已非單打獨鬥,而是集結眾家高手的力量,進行整合作戰。
在此前提下,戴夫寇爾(DEVCORE)執行長翁浩正認為,可以預期,2017年企業用戶遭遇攻擊的數量、頻率乃至規模都會較往年提高;更可怕之處,在於企業所要面對的,不是單一駭客,而是一群駭客組織、甚至是一個駭客產業,他們將基於盈利目的,處心積慮發想更新穎的攻擊手段,且利用比從前更為廣泛之標的物,比方說網路設備、民生基礎設施、智慧家電、物聯網裝置等,無所不用其極達到攻擊目標。
面對山雨欲來的難纏攻勢,企業亦應跟上駭客的腳步,設法建立全新的資安防護思維,好好地武裝自己,增強防禦力;否則如同2017年初證券商遭DDoS攻擊勒索事件,攻擊流量尚且低於1TB甚遠,基本上未達致命程度,但多數受害單位卻難以招架,這般情勢發展結果,不免讓人感到憂心,只因為任由這些脆弱點持續存在、未能有效補強,萬一哪天真有高達1TB的DDoS攻擊流量來襲,屆時放眼全台灣,能夠在炮火侵襲下猶可力保網站服務不中斷的企業,恐怕不會太多。
企業欲明哲保身 關鍵就在資安思維
翁浩正表示,隨著駭客攻擊手法與時俱進,招式不斷翻新,企業縱然端出當下最強大的防護技術,都不見得能防禦到非常細微的地步,所以企業能否趨吉避凶,主要關鍵未必在於技術,而是資安思維!
何謂資安思維?他以網站伺服器為例指出,企業務必要秉持著「我的系統日後一定被駭」的前提假設,來推動相關系統的設計,既然必定遭駭,所以應該有的預防措施、緊急應變措施,樣樣都不容馬虎,通通必須做到扎實到位。
譬如假設駭客入侵後,可能刪除所有資料,所以即便處在承平之時,企業便應居安思危,把資料備份或備援等工作做到最好;又或者,現有的防護機制雖然未必擋得住駭客入侵腳步,但至少應建立察覺的能力,在駭客入侵的當下,便可觸發警告機制,及早讓資安管理者知所因應,而非等到日後機敏資料遭竊取、或重要系統被勒索軟體綁架的那一刻,才驚覺大事不妙,一切也是枉然。
翁浩正建議,企業在內部防護團隊的人員配置上,一定要納入資安顧問,就算缺乏足夠財力資源延聘此類專才,亦應設法援引外部專業團隊的力量,至少在遭遇攻擊時,還有能夠立即提供諮詢協助的對象,幫助自己大事化小、轉危為安。
至於要想強化資安意識,他認為最好的途徑,便在於教育訓練,不論指派部份同仁赴外部機構聽講,或者延請專業講師前來公司授課,都有助於同仁吸收到最新攻擊趨勢,對於補強企業安全防禦機制之不足,肯定有所幫助。
此外最具成效的做法,無非就在於滲透測試。以DEVCORE為例,即是模擬黑帽駭客的所作所為,研究企業的哪些門戶,讓潛入者有可乘之機,再積極從內部發掘缺陷與弱點,不斷朝著存放珍貴資產處,一步步匍匐前進,終至實現竊取機敏資料之目的。
透過這番攻防演練,可協肋企業知道有哪些罩門急待補強,趕緊據此增購防禦設備,或招募特定人才,總之是利用短暫時間,進行最具成效的資安架構翻修,堪稱是極其顯著的正面激勵效用。
