超級 Lag!80% 公司、政府不知道自己被駭,怎麼辦?

  • 企業的資安意識普遍不足

2013 年 10 月,趨勢科技發佈了 「2013 年台灣進階持續性威脅白皮書」,為的是分享台灣受 APT 攻擊的現況,並進一步協助企業制訂對抗 APT 攻擊的策略,目的無非就是讓企業的 IT 部門可以對 APT 攻擊有更多的認識,了解駭客所會運用到的戰術和運作,如此才能建立起資安威脅的因應方式。

什麼是「進階持續性威脅」(Advanced Persistent Threats,APT)呢?簡單的說,就是駭客針對特定組織所做的複雜且多方位的網路攻擊。受駭目標並不僅限於政府單位,還包括高科技產業、金融業、學校和中小企業等。

該白皮書的內容中指出,超過 80%  的受駭組織並不知道自已曾經 / 已經遭受 APT 攻擊。通常,受駭組織往往都在被入侵很一段時間之後才會發覺,像是高科技產業,平均要 346 天才會發現自己遭受到 APT 攻擊,最長的甚至等到 1019 天才察覺。

其中,有 77%  的受駭組織在發現自已被入侵時,早就被駭客取得掌控權。然而,調查結果卻發現,只有 50%  的受害電腦可以被找出惡意程式,那麼,另外的 50% 的受害電腦呢?

  • 資安問題不得不重視,因為每筆資料都是公司的資產,遭竊、毀損都不能!

企業不可不重視內部的資料安全,以及使用者的個人資料。為了讓資訊能夠發揮其最大價值,我們就必須有效的防止資訊遭受竊取、竄改、毀損、或遺漏等威脅,也就是確保資訊的:

(1) 機密性 (confidentiality):保護資訊不被非法存取或洩漏,而加密是實踐機密性要求最常見的方法之一。

(2) 完整性 (integrity):確保資訊在任何階段都沒有不適當的修改或損毀,數位簽章是最常見的方法之一。

(3) 可用性 (availability):經授權的使用者能適時存取所需要的資訊。

  • 實踐安全評估,大致上有這四個階段:

(1) 資產等級畫分:這項工作可以幫助我們要保護的主體是什麼。

(2) 威脅分析:微軟曾經提出一個「STRIDE 模型」,可以協助企業做分析。

(3) 風險分析:則可以借助微軟所提出的「DREAD 模型」所定義的威脅等級,來做為防守策略以及處理關鍵資訊的優先順序。

(4) 設計解決方案:這個階段是由上述的資產等級畫分、威脅分析以及風險分析等階段的結果,所設計出來的安全解決方案。

「資訊安全」,其實不僅限於技術層面,或是駭客入侵等的議題,它還包含了管理的議題。因此,我們除了以上述的 C-I-A (機密性 – 完整性 – 可用性) 做為判別資訊資產的基準之外,也應該整合人員、流程、技術,透過建立企業全體人員的資安意識,並藉由品質與認證作為不斷循環改善的依據。

  • 延伸閱讀:

被駭 11 個月才發現?趨勢科技安全研究全球副總裁 Rik Ferguson :台灣資安環境低於全球平均值

(資料來源:「2013 年台灣進階持續性威脅白皮書」Thread Rating TableSTRIDE;圖片來源:Poster Boy NYC, CC Licensed)