回顧2009年,世界各地和資訊安全有關的事件,在媒體上的報導是從未間斷過,無論是個人資料外洩、殭屍網路(Botnet)、垃圾郵件、惡意網站、網路釣魚、拍賣詐騙等,受害者不計其數,對於國家和社會都有著一定程度的影響。
根據各家資安業者的預測,在2010年主要的資安威脅,大致有以下幾種:
- 殭屍網路持續肆虐:Botnet木馬程式在網路上不斷散布,難以根治並且潛伏在使用者的電腦之中,待有心人士一聲令下,即可發動大規模的網路阻斷服務攻擊。
- 雲端運算的風險增加:雲端運算需要依靠網路連線來進行,隨著各種雲端應用服務的增加,惡意攻擊者可能會入侵操控雲端連線,或是破壞雲端資料儲存中心,造成雲端應用服務的中斷。
- 社交網路成為資料盜竊工具:隨著Facebook等社交網站的盛行,使用者在社交網路中所揭露的資料,很可能被收集起來另做他用,惡意人士可藉此來冒用身分,和同一社交圈的人士溝通交流,以騙取更多有用的資訊。
- 區域性與特定目標攻擊升溫:全球性的病毒感染機會將降低,但隨之而來的卻是區域性的攻擊增加,惡意人士將鎖定特定企業或對象,以目標式的攻擊來獲取其不當利益。
- 惡意程式的變形攻擊:惡意程式的變化速度加快,只需幾小時就可衍生出其他的變種,這也代表傳統防毒程式依賴更新病毒碼的防護能力將大幅降低,若是使用者在網路上瀏覽已遭植入惡意連結的網站,很容易就會自動下載並感染到惡意程式。
- 網路釣魚的機會增加:ICANN網際網路網域名稱與位域管理機構已開放國際網域名稱的註冊,也就是說網域名稱之中可使用非拉丁語系的字元,所以惡意人士可以使用看起來相似或無法分辨的網域名稱來製作陷阱,讓使用者一時無法察覺而受害。
面對不斷變化的資安威脅,身為網路管理者的你,究竟該如何因應呢?在此借用一句企業管理上的名言:「No magic, only basic.」是的,資安工作真的「沒有魔法,只有基本功!」個人相信沒有一個業者敢銷售給你一套資安產品解決方案,然後告訴你從此可高枕無憂,再也不會發生任何資安事件。
所以在新的一年,想要降低企業的資安風險,最好的方式就是回歸基本,確實將基礎的資安工作做好,才能有餘力去應對更新的資安威脅。針對基礎的資安防護工作,以下幾項重點可作為在執行資安工作時的參考。
預防來自內部的人員攻擊
一般而言,小型企業發生內部人員攻擊的比例不高,原因是同事之間彼此都已相當熟悉,所以較少發生有人假冒身份進入工作區域,並趁機竊取敏感資訊的事件。但是對於員工人數與部門數量較多的中大型企業而言,仍要注意防範可能的人員弊端。
建議防治的方式為進行敏感資料的存取控管,依照不同的職務身份賦予適當的權限,避免所有權限都集中在一人之手。另外,也要盡量減少可能受到利用的安全弱點,例如實施網段區隔,讓研發單位和人事單位的網段和一般員工分開,以避免透過網路存取到敏感資訊,以及在機房實施門禁管制等。還有,應教育員工不可分享或洩露個人所使用之密碼,離開座位時將工作文件放置在上鎖之抽屜中,個人電腦要啟動已設定密碼之螢幕保護程式,並且禁止訪客進入工作區域,這些都是基本且必要的防護措施。
減少可能的網路安全弱點
在企業環境中,可能有為數眾多的網路路由器、交換器、防火牆等網路設備,許多設備在出廠時預設會開啟許多功能,甚至強調不需要更動組態即可上線使用,這種方便往往會造成安全上的漏洞。
建議網管人員應在設備上線之前去檢視其組態是否安全,例如預設的管理帳號與密碼是否已更改,未使用的功能模組是否關閉,不需要啟動的連接埠是否關閉等,以確保不會受到惡意人士的利用。在設定管理者密碼時,也要注意密碼的長度與強度,更要避免所有設備皆使用相同的管理密碼,以避免整個防線一次就潰堤。
如果是網路環境相當複雜的企業,建議定期進行網路弱點掃瞄或是滲透測試,以找出可能隱藏的安全漏洞,若網管人員熟悉一些檢測工具像是Nessus或Nmap,可以藉此來產出網路弱點的報告,如果缺少適當的人員可執行,也可以委由外部廠商和顧問,協助執行並提供可行的消除弱點安全建議。
清查行動裝置的安全性
若企業有許多行動工作者,經常需要在外使用筆記型電腦進行作業,在新的一年正好可進行健康檢查,確認作業系統的更新檔是否已安裝、防毒軟體版本是否過舊、病毒碼是否每天進行更新、個人防火牆組態是否正常、是否設定開機密碼、機密檔案是否加密等。
如果行動裝置的數量過多,建議可透過群組原則的設定,強制使用者電腦在登入企業網路時必須更新系統和病毒碼,並且也要讓使用者可任意關閉防毒軟體的功能失效,以避免在外時有意或無意將安全軟體關閉,讓惡意程式有機可趁。
另外,針對行動工作者應定期進行教育訓練,宣導應注意的安全事項,例如使用無線網路時,勿選用來路不明的基地台,最好選用具有加密或認證機制的無線網路服務提供商;若需要傳輸敏感資訊時應使用虛擬私人網路(VPN);在外使用筆記型電腦和USB隨身碟,應小心防護避免遺失或使用檔案加密機制等,以減少可能的安全風險。
檢測網站應用程式的安全
目前,網站受到入侵並放置惡意程式連結的事件已時有所聞,因此歲末年終針對現有網站進行安全清查是必要的,基本上建議可以從兩方面來著手,首先是網站伺服器本身的強化,確認作業系統已安裝必要的修補檔、伺服器軟體已進行更新、未使用的連接埠及服務皆已關閉等。其次則是針對網站應用程式進行檢測,可利用弱點掃瞄工具或是原始碼檢測來進行,確保針對常見的網站攻擊手法像是SQL Injection等已具有免疫能力。
如果是提供電子商務服務的業者,更要確認連線加密機制與身份認證機制是否完善,以保護線上交易資料的安全,必要的話,則建議安裝網站應用層防火牆,透過更深一層的封包檢測機制,來避免非正常交易的事件發生,更可同時抵禦常見的網路應用層的攻擊。
避免網路惡意程式的入侵
過去這一年,除了許多受到入侵而挾帶惡意程式的政府、教育和企業網站,再加上即時通訊和社交網站的大受歡迎,大幅提高了使用者感染惡意程式像是木馬、病毒、間諜軟體的風險,為了避免員工使用企業網路瀏覽非工作所需的網站,建議採取管理面與技術面雙管其下的作法。
在管理方面,可制訂並頒布網路的使用政策,清楚說明員工應避免的網路使用行為和違反時的處置辦法,先勸導再懲處會是比較容易令人接受的方式。至於技術方面,則是可以採取將不適當的網站加入黑名單來阻擋連線,或是採用網頁內容過濾方案,透過彈性化的設定來因應不同工作者的需求,並且可及時更新網站黑名單以阻擋新的惡意網站。
建立應變機制,有備而無患
許多企業在資安事件發生時,往往會顯得手忙腳亂,以檔案損毀為例,企業或許平常已有資料備份,但是當災難發生時,資料備份放置於何處?哪些資料該優先復原?復原的步驟如何進行?這些問題往往詢問起來,都找不到一個適切且完整的答案,最主要的原因就是企業缺少了災難應變機制,也就是在平時並沒有準備好有效的災難復原或營運持續計畫。
在駭客技術不斷翻新的今天,我們無法預測將會遭受何種攻擊,但是我們知道哪些是企業重要的營運服務和關鍵資料,因此針對重要的營運資訊,無論是存放在資料庫中,還是在老闆的電腦硬碟裡,針對資訊處理的過程和所使用的設備,都應該思考需要預先採取何種防護,如果連這一點思考都沒有的話,你的企業很可能就是下一位資安事件的受害者。(本文刊載於2010年1月號網管人雜誌)
沒有留言:
張貼留言