【從零開始讀資安】資安消息怎麼讀?威脅、漏洞、風險,意思大不同

正當全世界因為疫情的關係而實行遠距工作、遠距教學,資安的風險也相對提高,還沒準備好的企業們,來不及補齊資安知識,要是再運氣不好遇到資安攻擊,實在招架不住。

資安專家 Daniel Miessler 擁有 20 年幫助企業規劃資安策略的經驗,服務範圍從新創到世界前百企業,他認為資安的範圍廣大,如果要了解這塊領域,他鼓勵大家從零開始:先聽懂常見資安名詞。

「威脅」還是「漏洞」,有什麼差別?

在英文上,威脅是「Threat」,漏洞則是「Vulnerability」,也有人翻成弱點。
首先要注意,兩者是完全不一樣的事。漏洞是產品因為 設計不良、操作不良、沒有更新 ,而產生出可被攻擊的「弱點」。可以想像成地震後牆壁出現裂痕,如果想要擊垮牆壁的人,可以主力攻擊這條裂縫。

威脅的範圍比較大,只要是「威脅」到用戶使用,都能稱作威脅。包含駭客從網站竊取數據、企業內部偷取數據給別公司、雲端備份被不小心的管理者關掉,甚至誇張一點的,機房突然淹水、失火,也都算是威脅的一種。延續上一段的地震案例,「地震」本身就是「威脅」。

這邊再多解釋一個「Risks」,風險,風險跟威脅很像,但有一個觀點點的不同:風險通常是指傷害發生的「可能性」。專家 Miessler 用一個簡單的公式說明:

risk = probability x impact

當我們要談論風險時,通常也無可避免地會談到影響程度。以地震的例子說明,風險指的是地震後,造成屋子出現裂縫的機率為何。

攻擊者到底是誰?

最近最常聽到幾種資安事件,包含駭客在暗網洩漏 台灣身分證資訊中油遭勒索病毒癱瘓 APP 支付工具 。對企業來說,我在明、敵在暗,除了要防範事件發生,也需要釐清這些攻擊者到底是誰。

資安專家 Miessler 將攻擊者分成六種:激進駭客(Hacktivists)、資安犯罪者(Cybercriminals)、氣憤的內鬼(Disgruntled insiders)、國家、粗心大意的員工、自然災害。

Miessler 強調,要看一間公司的資安意識是否成熟,就要看有沒有把「自然災害」列為威脅之一,因為自然災害通常帶來的危機更大。

資安部落格 SecBuzzer 也點出,雖然無法管制暗網出售各種資料,但因為按網中的情資「直接來自駭客」,因此反而對資安監控專家來說有利,可以分析、搜集資料,企業可以自行組織內部的分析人員,也可以將這方面的需求委任的資安團隊,在有必要的時候深入探索案網駭客圈。

資安威脅越來越大,越早了解成本越小

資安大廠 趨勢科技 在年度報告中提到,光是 2019 上半年,趨勢就偵測到 268 億次日常威脅,包含:

1. 家庭網路威脅 ,目前家庭的智慧裝置,在 2019 上半年,出現 1.05 億次攻擊;

2. 端點威脅 ,來自 Email 的威脅約有 260 億次,佔了網路威脅的 91%;

3. 行動裝置威脅 ,在缺乏安全性的公共 Wi-Fi 網路,使用者的裝置有可能遭人預先植入惡意程式,目的可能是竊取個人資料、登入憑證、顯示廣告、植入勒索病毒… 等。

了解名詞是認識資安圈的第一個前哨準備,一步步累積、探索資安常識,正如許多資安專家所說,要是企業老闆覺得資安部署太貴、不需要,我們要記得的只有一件事:資安防護,只有越早開始成本才會越低。

參考資料來源:

Daniel Miessler | The Difference Between Threats, Threat Actors, Vulnerabilities, and Risks
SecBuzzer | 資安人必看!SecBuzzer 暗網情資整理(2020 年 1、2 月號)
資安趨勢部落格 |2020 要留意的五大資安威脅 

(本文提供合作夥伴轉載。)

你可能有興趣

華為工程師提交的 Linux 補丁留有資安漏洞?一文解析大家是否真的需要擔心
【超過 2000 萬筆台灣人個資,在暗網上被販售】政院資安處:多數為舊資料 
政府、企業都受「駭」!3 個關鍵數字暴露台灣資安危機


科技報橘 LinkedIn 上線!

最新科技產業動態、技術新突破、專業職能技巧提升 ....... 鎖定 TO  LinkedIn 專業品牌,提升職能與產業 Know-how,躋身產業菁英之列 https://www.linkedin.com/showcase/techorange

點關鍵字看更多相關文章: