防禦、監控與應變多管齊下 實現資安趨吉避凶
在2017年開春,台灣驚爆史上第一起證券商集體遭DDoS攻擊勒索事件,震撼程度堪與一銀ATM遭駭事件等量齊觀;著眼於此,金管會開始要求所有金融機構,須因應DDoS防護需求,切實建立監控、事故應變等機制,並於每年至少實施一次程序演練。因此若說DDoS是2017年重大資安議題,理應不為過。
勤業眾信聯合會計師事務所風險諮詢服務協理陳威棋認為,事實上2017年值得關注的資安課題,並不僅止於DDoS,尚有其他重要項目。
首先除了金管會要求銀行須於5月20日前完成App安全檢測,必須依行動應用App基本資安檢測基準.V2.1版進行29個項目之檢測,另近期行政院消保處經調查發現,包括超商、大賣場、行動銀行及通信服務等民生相關App,普遍蒐集過多個資,於是要求前述民生App,發布前檢視App所需權限及蒐集個資應與提供服務一致。
其次,2016年期間發現,基於特定版本Apache Struts 2弱點,允許攻擊者遠端執行任意程式碼漏洞,等於讓駭客堂而皇之取得企業網頁伺服器控制權,堪稱重大危機;歷經此風波,國際上的資安風向球,不再環繞於防火牆、IPS等老生常談的防護設備,而是高談網路威脅情資分享。
回顧以往,一旦出了大事,多由主管機關要求轄下單位加強防禦措施,此被動模式儘管在日後仍無可避免,但已隨著情資分享觀念成形,逐漸朝向主動制敵機先的方向推進。比方說現今金管會明確要求各行庫,必須獨立建置資安專責組織來處理資安管理,亦要求該組織應具備幾項必要機制,首先便是網路威脅情資能量,接著則應建立資安應變能量。
防範未然 企業宜建立事件應變能量
陳威棋強調,不論資安趨勢如何演進,當年熱門議題如何變化,萬變不離其宗,企業宜以16字箴言,審慎因應今後接踵而來的資安威脅,它們包括了「權責義務」、「瞭解環境」、「鑑識概念」與「外部情資」。
早期企業資安管理的重心,僅偏重事前預防,對於事中監控的著墨程度稍微少了一些,至於事後應變,更是明顯欠缺,所以展望未來的當務之急,便是趕緊補上危機處理SOP,把應變程序步驟、以及每個人應負的權責角色定義清楚,再搭配必要的攻防演練,將定義好的劇本確實執行過一遍,如此才能明白瞭解環境現狀,自我診斷不足之處何在,再據此調整組織、程序與人員等資源配置結構,設法將資安體質調理到最佳狀態。
值得一提的,在建立資安應變機制的過程,舉凡透過鑑識概念的建立,藉以回溯事件的原貌,並強化證據的保全,乃至於引入外部威脅情資,再與內部情資進行綜合性判斷、比對,作為資安決策依據,皆可謂不容或缺的重要環節。
陳威棋說,勤業眾信藉由旗下資安科技與鑑識分析中心實驗室,提供有關證據保全、事件分析等數位鑑識服務,不僅行之有年、深具經驗,也已取得國際認證,並獲法院認可,具有等同於調查局、刑事警察局的鑑定效力。
儘管如此,他仍建議企業在承平之時,便應及早培養鑑識認知,並建立相對應的標準程序,秉持未雨綢謬原則,儘可能完整保存數位證據,否則萬一什麼Log都沒留下,事後任憑經驗老道的鑑識團隊介入協助,恐怕也無力回天。
至於事前防禦、事中監控等方面,勤業眾信可協助企業進行社交工程演練、滲透測試,檢視網站有無弱點,輔以定期執行基本設備與應用相關安全檢測,藉此研判該用戶的事件應變處理流程、監控規則等環節是否足夠,若有不足,再議優化調整管理流程與制度,以打好資安防護基礎。