善用技術工具並採取對策 因應內外部資安威脅

企業員工竊取個資、研發機密的事件頻傳，為有效防制內部威脅，資安廠商紛紛從不同角度出發，提出對應的監控分析方案，「用戶與實體行為分析」(UEBA)即是其中一例。Micro Focus

回顧2017年初至今，在上半年期間，發生了幾起備受矚目的資安事件，包括2月期間爆發史上頭一次證券商集體遭DDoS攻擊勒索，緊接著在3月初，多所學校的網路印表機收到恐嚇信件，駭客揚言若不支付3個比特幣，便將發動攻擊以癱瘓校園網路，也算是第一次有學校集體遭到攻擊勒索。

到了5月份，再度出現一個「史上第一」的攻擊事件，即是爆發全球大規模感染的WannaCry，它是史上第一隻勒索蠕蟲，當然台灣也無法置身事外。

短短不到4個月的時間，台灣接連面臨了數起前所未見的資安威脅，幸運的是，儘管一開始雷聲大得嚇人，但最終的雨點卻不算大，也就是實際的災損，比預期輕微不少，尤其是學校遭攻擊勒索事件，甚至僅是虛驚一場，成為IT與資安業界聊備一格的話題而已。而這些波折，反倒激起了若干正能量，比方說人們開始重視多層式DDoS防禦機制，也開始勤於思考如何建立勒索病毒的防護對策，針對員工教育訓練、系統漏洞修補、機敏資料存取控制乃至資料備份等諸多面向，陸續展開實際作為。

歷經WannaCry，企業更懂得防制勒索攻擊

綜觀前述的因應措施，對於防制勒索病毒與保護關鍵數位資產，其實都蘊含深層的意義。以員工教育訓練而論，旨在促使員工一方面知道勒索病毒的風險、感染途徑，二方面當察覺可疑活動時，亦應立即採取必要的適當行動；至於漏洞修補，則務求在任何安全修補程式發佈之後，就在最短的時間內予以部署，把駭客利用漏洞發動入侵攻擊的機率降至最低。

接下來，透過對於機敏資料的限制存取，堪稱一石二鳥的必備妙招，既能防止內部不肖員工輕易帶走公司機密文件，二來即使駭客有意控制內部員工為肉雞，繼而步步進逼機敏資料的所在之處，進行的難度也將大幅提高。

至於備份，儘管偏向消極做法，但畢竟資安防護並無一定100%奏效之理，凡事都得做最壞的打算，所以仍有絕對的必要；對此有業者提出建議，企業宜遵行嚴密的3-2-1原則備份排程，透過至少兩種不同格式，保存三份機密資料的副本，且其中一份副本，務必要放在公司內部網路以外的異地，如此一來，就算真的不幸遭到勒索病毒感染，也至少會有一個備份被保留下來，可藉此延續公司的營運命脈，不至於完全斷了香火。

如果2017年的資安風波，僅止於前述幾次事件，那麼基本上還算是安全下莊。但到了後面這幾月，其實又發生了數起與資安相關的新聞，儘管看起來未必像DDoS攻擊勒索、WannaCry如此沸沸揚揚，但背後值得留意與反思的地方，其實也不算少。

首先可能肇因於上線時程日益逼近，再加上罰則吃重(取決「2,000萬歐元」或「全球獲利4%」較高的一方)，業界對於歐盟個人資料保護規則(GDPR)的關注程度，明顯較往常提高不少，畢竟外國公司搜集歐盟公民資料，也在GDPR規範之列。影響所及，包括資料外洩防護(DLP)、資料庫活動監控(DAM)等解決方案，詢問度都比上半年或去年來得高，甚至思考運用機器學習演算法來協助遵循GDPR，總而言之，沈寂許多的個資保護議題，如今已再度活絡。

其次也是與個資相關的事件。某旅行社不僅外洩旅客個資，後續還引發電話詐騙紛擾，身為主管機關的觀光局，也立即要求業者應儘速建立資安防禦機制；儘管事發後，不少人推測是該旅行社的資料庫遭駭客入侵，但資安業者認為，也有可能是內鬼所為，或者是有合法帳號遭竊、淪為駭客跳板，在此情況下，所謂的資安防禦機制，防護範圍應該涵蓋駭客入侵、內賊及人為疏失等不同情境，不宜僅朝向駭客攻擊防護而傾斜。

內部威脅升高，行為監控成顯學

無論旅行社個資外洩事件的真正元兇為何，但至少，內賊是一個可能方向，若是如此，便與另一則新聞訊息有所關聯，只是洩密標的物從個資變成了研發機密文件。

某DRAM公司發現有員工被大陸競爭同業挖角，而這些人涉嫌違反公司資訊安全、員工保密協定等規定，透過以手機拍攝、紙本列印等方法，取走包括無塵室維護運作等機密等級以上的重要營業秘密，且輸送給對岸競爭同業；該公司向地檢署提出檢舉，幾經多時調查，近期全案偵結，相關員工均依違反營業秘密法遭到起訴。

事實上，台灣員工在對岸企業的招手下，開始利用各種方式規避公司防禦體系，成功竊取機密並帶槍投靠的例子，可謂屢見不鮮，無論過去、現在的相關案例都很多，展望未來，諸如此類事件也不會絕跡，使得部份資安業者不免為之憂心，直指企業內部威脅猶如熱帶氣旋，恐持續壯大，甚至傷及台灣產業根基，後續效應不容小覷。

因應內部威脅一觸即發，其實已有不少資安廠商針對這個主題，提出不同的防制方案，綜觀這些方案的內涵，說穿了其實就是持續監控加上完整的軌跡記錄。

有業者認為，不管是個資抑或研發資料、智慧財產，都足以動搖公司營運基石，由於事關重大，當然必須盡全力加以防範；既然這些珍貴的資產都是資料，那麼就應該從資料監控分析的角度著手防禦，相關保護機制含括基礎的資料庫監控，再進一步擴展到應用程式、檔案系統及雲端環境的整體防護，如此才能迅速把發生於不同節點的事件串聯起來，針對可疑的跡象，確切識別是否真的是內部威脅，有效防護企業機敏資料。總之，過往純粹由防火牆或防毒軟體個別組成的孤島式安全機制，已不符現今所需，且對於內部威脅的反制力道明顯疲弱。

另有業者提倡「用戶與實體行為分析」(User and Entity Behavior Analytics；UEBA)。所謂UEBA概念，係由研究機構Gartner於2015年9月所提出，算是一種針對內部使用者存取行為的進階資安分析機制；從字面上看，即不難看出UEBA與早期的UBA(User Behavior Analytics)略有不同，差別就在Entity(實體)，也就是UEBA強調的是使用者與其接觸的實體之間的關聯性，藉此掌握威脅脈絡，幫助企業清楚看見風險之所在，並適時展開應變處理。

舉例來說，透過UEBA所勾勒的員工與實體行為軌跡記錄中，發現某天有幾名員工，在淩晨試圖透過公司電腦連結內部系統，搭配其他佐證數據，發現其中僅一名同仁因為籌備隔日的大型活動，選擇留在辦公室挑燈夜戰，確實屬於合法存取行為，但其餘數人根本不在辦公室，此行為便顯得相當突兀，足見背後大有玄機，值得管理者深入探究，看看到底是員工因應在家加班所需，不得已利用翻牆軟體操作內部電腦，抑或遭到駭客入侵。

此外近期鬧得滿城風雨的遠東銀行遭駭事件，已有不少資安專家趕忙分析箇中癥結，但其中最值得商榷之處，仍在於內部個人電腦與國際匯款系統SWIFT主機之間，並未完全做到實體隔離，以致駭客可藉由個人電腦為跳板、輾轉入侵SWIFT，最終成功盜走6,000萬美元。此一事件凸顯不少企業的資安防護基本功，至今依然不夠到位，展望未來更頑強的威脅風暴恐一波波來襲，在此之前，唯有趕緊亡羊補牢，把資安馬步紮得穩一些，才是上策。