雲端時代關鍵挑戰　網路架構與安全管理

網駭科技總經理 暨 駭客年會創辦人 徐千洋。

許多企業管理階層針對資安問題，常常都會有疑問：為何花了一堆錢買了資安設備，但資安事件還是發生了？為何都已經通過ISO 27001資安認證，還是發生了資料外洩？網駭科技總經理暨駭客年會創辦人徐千洋指出，針對資安問題，首先要先建立正確的觀念，做好資安管理，可以降低被攻擊的事件次數，但不可能降到零，換句話說，「任何資安投資都只是降低風險，表示還是有風險。」

杜絕風險難度日益提高

徐千洋解釋，企業上網等應用，已是非常重要的基礎建設，但連上網路雖然可以吸引全球來自四面八方的瀏覽者，但也一定會吸引敵人，所以企業才需要購買防火牆等資安設備，以阻絕駭客入侵。但是駭客也會進化，設法提升技術，於是企業只能不斷購買設備，重組架構，想要完全杜絕風險的難度自然提高。

企業面對的資安威脅，已經不再是新聞或好萊塢電影描述：一群因為好奇、孤僻、展現功力或一時好玩的學生駭客，徐千洋表示，取而代之的是一群來自四面八方、具專業性、長期具耐心、為數眾多的組織型駭客，企業IT面對資安威脅，只會愈來愈嚴重。

以能夠投入資安的時間為例，徐千洋指出，企業IT主管往往需要面對各種雜事，面對資安事件，通常只能仰賴系統提示，如通知發生資安事件，或是透過燈號了解是否有意外事件，很難24小時不斷保持注意力，但是駭客卻可以專注於如何攻擊，嘗試用各種不同的方式，繞過企業設下的層層防禦，兩者的專注程度，相差不可以道里計。

組織型駭客的威脅日增

更可怕的是，相較於技術型駭客可能只是展示技術，徐千洋認為，組織型駭客的目的，通常都是為了錢；駭客利用木馬程式盜取QQ、網路遊戲、銀行帳號、信用卡帳號等個人資料，並從中牟取金錢利益的經濟活動，網路地下經濟已經成形，更增加組織型駭客攻擊企業的動機。

此外，現在的駭客取得技術的管道很多，加上網際網路的黑色產業鏈已經形成，徐千洋指出，除了很多人認定的中國，歐洲地區(尤其是俄羅斯)更是黑色企業的集中地，也讓駭客進入黑色企業的可能性隨之變高。

從實際案例看資安威脅

而在實際的案例中，更可看出企業面對的資安挑戰日益嚴峻。徐千洋以某軟體業為例，就曾碰到三台系統開發伺服器被入侵、員工帳號也被竊，後來才發現是因為一位研發主管到大陸出差時，使用的筆記型電腦被入侵，當這位主管透過VPN連回公司時，造成入侵事件，只能重灌伺服器、更換所有員工帳號密碼、強化密碼強度，但開發軟體原始碼可能都已外洩。

而在另一家人數約200人的傳統產業，則發現郵件伺服器被入侵，疑似有商業機密外洩，後來發現有6名高階主管的電腦被植入木馬(鍵盤側錄)，也必須更換郵件伺服器，及所有員工的帳號密碼，並強化密碼強度。但徐千洋表示，要清除遭木馬入侵的員工電腦時，卻碰到阻礙，因為這6位主管會用各種理由拖延(出差、有重要會議)，IT部門花了很多時間去做溝通。

事實上歷史比較悠久的公司都有類似的困難，只要資深員工配合度不夠高，公司又沒有制定資安政策，多年來也沒有添購資安設備，資安事件就很難杜絕。

徐千洋又以某家金融業入口網站被三批大陸駭客入侵為例，網站應用程式被修改，植入多種後門指令，導致該金融網路服務的使用者，有18個用戶遭植入木馬。該金融業入口網站居然沒有任何備份及備援機制，因此在發現以後，該金融業隨即讓入口網站即時下線，並通知用戶更改網路銀行密碼，並緊急購買600萬元的網頁應用程式防火牆、增加備援及開發伺服器，但也因為之前沒買，所以花了好幾天才讓入口網站恢復運作。

無知與自私才是最大威脅

徐千洋感慨的說，由前述案例可以看出，沒有資安事件就沒有經費，因為要等發生資安事件，足以影響到管理階層，或是業務或商業機密外洩，企業管理階層才會去重視。

因此，徐千洋認為，管理階層如果不了解資安威脅帶來的危害及損失，或是不認為會影響自身權利或利益，才是企業資安最大的威脅。管理階層一定要有所認知，任何資安事件對企業造成的形象及有形損失，都是難以估計，領導階層應將資安投資與企業獲利視為經營目標，對所有員工做定期教育訓練，才不會碰到資安事件時，會不知所措。