近几年,网络安全的天平已经向攻击方倾斜,面对现在的网络威胁趋势,几乎各大资安业者都提出无法完全免於网络攻击的风险,而许多资安事件也应证了,企业并无法完全阻绝这些风险。
对於如何建立正确网络防御思维,做出务实的网络防御策略,在今日举办的趋势科技CloudSec大会上,趋势科技资安事件应变小组资深经理邱豊翔指出,虽然近年企业已经开始重视资安,但还是有一些盲点存在,企业必须重新设定网络防骇的思考方向。他提醒,企业要体认到3件事:首先是必须要接受没有100%安全的概念,第二是因为没有绝对的安全,该用何种方式来降低损害与风险就很重要,因此要重新聚焦在高风险的网络威胁防御,最後则是,不管企业看到或没看到的威胁,其实都是需要资安事故处理应变的能力,因为这将能够为企业减少损失。
为了让现在的企业更容易理解,如何聚焦高风险的网络威胁防御,邱豊翔也借用「黑天鹅效应」与「灰犀牛效应」,这两种常用於解释金融市场现象的比喻,来说明入侵影响程度高的不同网络威胁危害。
简单来说,黑天鹅效应的大家应该都不陌生,典故来自欧洲人认为天鹅都是白色的,在首次接触到黑天鹅後引发冲击,在金融市场解释,就是极为罕见,通常发生在预期之外。邱豊翔表示,黑天鹅式的网络威胁,也就是认为几乎不可能发生,甚至说没有前例可循,很难预测。也因为难以预测,大部分企业也不会投入资源去防护,但一旦遭受入侵,就会造成极大的影响。
另一个灰犀牛效应则是近一年来热门的话题,邱豊翔说,看似无害的灰犀牛,每年在非洲草原杀的人却比狮子还多,有趣的是,尽管很多人都知道这样的危险,但还是选择去忽略。因此,灰犀牛式的网络威胁,就像近年金融业遭遇的SWIFT网络攻击事件,在孟加拉银行事件之後,持续有不同国家银行同样遇害。
现场,邱豊翔并以他们的资安事件调查经验,来说明这两类威胁。举例来说,以现实环境的黑天鹅式网络威胁而言,像是有一家企业做了不少的资安防护,例如将网段依风险性区隔,将内部网络与协力厂商维护的伺服器区隔离开来,但由於难以预测骇客的入侵管道、攻击手段,更无法预测防御零时差弱点,最後骇客经过种种手段,最後再透过令人意外的交换器零时差漏洞,进而从隔离环境攻进该公司伺服器。
而灰犀牛式的网络威胁则不同,像是有企业IT人员在实体隔离的环境,为了贪图方便则取巧让两边资料能对传或开防火墙,明明知道危险但仍选择忽略,最後他们不可连外上网的环境,遭到勒索软体入侵,将该公司所有研发资料加密。
面对这两类影响极大的网络威胁,企业该如何应对?邱豊翔也说明了因应的方式。先从黑天鹅式的网络威胁来看,尽管防不甚防,但不代表什麽都不做。他认为,企业先从做到善尽保护责任开始,再来谈黑天鹅效应。另外,企业要找出先要处理的问题,才能让钱花在刀口上,因此可以回归到基本的风险评估公式,就是威胁、机率与影响。
对於灰犀牛式网络威胁的防范,邱豊翔也指出几个要点,对於威胁情资的蒐集与利用,以及了解各种骇客攻击法与入侵案例,企业的重点应放在是检视自身环境有没有同样的问题,并赶紧处理,但有些企业对於威胁情资,则当成故事书来看,显然放错重点。而这类受害者的问题,其实大多是一些老生常谈的问题,例如缺少考量安全性的网络架构,存取控制宽松,及帐号权限开放过大,或是管理制度虽通过内外稽核,但却未能真正落实。
毕竟,资安观念除了建立,更需要的是能被实践。另外,他也提到资安事故应变是必备能力,原因前面其实也都有提到,没有100%的安全,而应变也不只是技术面的问题,需要不同面向的配合,像是营运、公关等。
最後,邱豊翔也建议,相较黑天鹅式的网络威胁,企业更应将焦点放在灰犀牛式的网络攻击,以务实角度规画网络安全防御。而且,比起黑天鹅式网络威胁,灰犀牛式网络威胁有前例可循,预测难度低,要预先防御也容易。
而面对各种任何型态的网络威胁,防御最好方式还是回归到基本,做好资讯基础架构安全,多层次网络纵深防御,并要能真正落实管理制度。另外,资安事故应变能力不可免,才能降低网络威胁的冲击。
