網路、駭客、攻擊

作者:Julian Chen   |   2015 / 01 / 14

文章來源:股感知識庫   |   圖片來源:Joseph Wang


就在HACK ETF 掛牌的去年11月份,全球也因為索尼影業遭駭的事件,引起極大的恐慌,加上去年一連串的資安事件,也使得此檔ETF自2014年11月12日掛牌交易以來,一個月當中的漲幅達8.97%,這檔ETF的最大持股 Imperva 過去一個月漲幅達到 22.05%。無疑讓2014年就在網路攻擊的陰影之下,畫下句點同時,也留下了許多的驚訝與恐慌。

索尼被駭事件簿

雖然索尼影業拍攝的這部電影在去年聖誕節前夕已公開上映,不過它卻因網路駭客攻擊事件,引起了全球的關注!

索尼影業被駭-01

就在這一連串事件的發展之下,演變成各說各話的羅生門,不過能夠從中得到任何教訓嗎?

這不是單一事件!

除了索尼影業外,美國企業去年也是資安事件頻傳,尤其是零售通路業,像全球最大辦公用品零售廠商史泰博(Staple, Inc.)、通路商 Target、JP摩根、iCloud眾多名人照片遭駭之外,也包括了俄羅斯比特幣論壇有四百九十三萬筆 Gmail 帳號及密碼外洩。另外引人注目的公司也包括了達美樂披薩、美國線上、eBay、Adobe、Ubuntu及 Evernote 都在近兩年間傳出大量顧客個人資料外洩的情事。

零售業者是最大的受災產業!根據美國國土安全部發佈資安警報指出,美國零售業者的POS系統是受到Backoff惡意程式入侵,進而竊取消費者的信用卡資料。而且EMC旗下的資安公司RSA 調查報告指出,也發現一個巧合,許多受到Backoff入侵商家的監控攝影機也被駭,可以遠端控制這些攝影機。

索尼影業被駭-03

Backoff 所採的方式是透過遠端桌面連線協定(Remote Desktop Protocol; RDP)應用程式入侵,再以暴力破解法找出帳號及密碼,之後才開始部署惡意程式,它會搜括記憶體的資料,以及在商家執行刷卡時取得消費者的金融卡資訊,它還可側錄鍵盤,執行C2C通訊,並且植入帶有惡意程式的文件。

資安認證可靠嗎?

我們不禁要問:一般企業不是都有導入資安顧問認證,政府機關也經常性進行稽核,為何還有這一連串的資安事件?就像去年11月遭駭的 Target 來看,他們在九月份才通過國際Payment Card Industry(PCI)組織的認證,究其原因到底為何?

先就PCI 組織來說,這是由威世卡、萬事達卡、美國運通、Discover 及 JCB 共同在2006年成立的組織,具有一千八百位獨立全職或兼職的稽核專家。不過這對於眾多商家而言,所分配的時間比例是極少的,或許在一個下午就完成一家公司的稽核,除了時間有限之外,缺乏強制力與責任也是其成效不彰的主因。雖然若違反PCI的規範,像大型零售商會遭受到每月兩萬五千元美金的罰款,不過這仍未能使多數企業盡速採取行動,以避免系統曝露在風險之中。這也意謂此單位的認證標準仍有不足之處。

企業要如何面對?

除了認證流於形式外,一般企業都會忽略像政府單位、資安機構所給予的警告通知,根據 Forrester 的調查,只有21%的企業會將此列為重要的優先事項。

Change(改變心態)

組織對於資安的心態需要改變,大多數企業對於潛在的資安風險都是經常忽略掉的。像國內主管機關都會定期發出資安通報,有許多企業仍是忽略掉的,更何況會積極採取行動來預防。因此要除了改變心態之外,更要確實實施安全措施、企業才能將因應更大的資安挑戰。

Count(盤點)

建立資訊設備的清冊,像電腦、手機、隨身碟、抽取硬碟、網路伺服器、印表機及路由器,並且需要每年定期檢查,找出易受攻擊的弱點。

Configuration(設定)

將企業內部的軟硬體進行分類,並依照外部組織所提供信賴的資訊安全設定的基本準則進行設定,以保護組織內的系統。

Control(控制)

限制及管理那些有管理者權限的人員,以避免他們去更改、省略或重置系統的安全設定。並強制要求使用者定期更換密碼,及要求密碼的複雜度,並控制遠端的企業虛擬網路連線(VPN),並控管實際資產設備的接觸。

並將存取活動記錄下來,以持續觀察與偵測異常的存取行為,像未授權的存取與錯誤密碼登入的記錄,定期去檢查高權限帳號的記錄,並評估帳號權限是否適當。

索尼影業被駭-02

Patch(定期更新)

定期更新對於確保系統的信賴度、一致性及可使用度是很重要的。持續檢視系統版本,並系統化進行更新,並加以測試,以找出應用系統的弱點,特別是作業系統及第三方業者所開發的軟體。

Repeat(重複執行)

資安威脅進行的複雜度及數量將會持續發展及擴展,所以本身的準備及反應就顯得十分重要,這是件持續、需要耐心的。也要檢視這重複執行的清單,以確保個別要點的每個階段,都適切的符合要求,

People(人為因素)

越來越多的裝置都已在網際網路上運行,在個人生活與工作的界線也越來越模糊。需要去了解組織內每個人在資安所要扮演的角色,不要假設每個人都瞭解本身的責任,有一定比例的人員並不認為其是負有責任的。人員因素對於資安的保護是很重要的,對於資安措施的推動也是個關鍵因素。

資安的威脅影響所有的企業,不論規模、產業與地理位置,需要企業內部及外部組織的協助,才能夠形成一股可觀與有效的力量。

而在未來,因為新型態服務與網路架構改變,我們又該如何面對新型的網路攻擊或資安威脅呢?

喜歡這篇文章?加入你的S夾!

Julian Chen
從事資訊與通訊產業,熱愛科技新知與產業動態報導。

臉書個人粉絲團:新通訊快報

Julian Chen的最新文章
More