資安防護不是為了審查,而是要避免被駭客入侵!

資訊網路已經是多數企業的重要數位神經!

我個人認為台灣企業和美國企業對於資訊的重視程度有很大的不同,美國企業會把資訊網路視為企業的重要數位神經(用來迅速傳遞正確的資訊給企業中的相關人員);但很多台灣企業往往只把資訊網路視為不得已的支出費用,甚至連一位專職的資訊人員都沒有,然後很會找免費的工具來使用(例如Line等等)!

大多數企業裡,現今能夠擔任到企業高階主管的人幾乎都會有一定的年紀(例如五十歲以上),這些人在年輕時所遇到的資訊需求和用法和現在是完全不同的。

二十年前最重要的電腦是會計、研發和老闆的,而業務的電腦是用來展示商品、洽談生意,其他人的電腦只是方便文書作業就可以,甚至連內部網路和儲存設備都不一定會有。

而現在,大多數企業沒有電腦和網路時,工作就幾乎都停擺了,甚至連很多餐飲業也是如此(因為餐飲業會透過網路接單、入帳、列印發票等等),就算台灣企業主不承認,但資訊網路已經是像人的神經系統一樣重要!

駭客攻擊程式隨時都在自動搜尋可入侵的對象~

既然資訊網路已然成為多數企業不可或缺的數位神經,一旦被駭客攻擊、成功入侵後就會造成嚴重的後果,因此企業主一定要十分重視資安防護!

有些企業的資安防護措施只是為了申請資安認證,只有在審查時才會啟用,但在日常的營運工作中會為了方便而把許多安全措施關閉,這樣一來便會出現資安漏洞~

例如在企業內部的伺服器資料庫、NAS相關服務,從資安的角度來說,一定會先讓外部的用戶連上公司的VPN之後,再連線至這些服務使用;但是為了方便用戶使用,很可能在對外的防火牆(或是無線基地台)透過NAT或PAT來把內部服務對應到外部的連接埠,而這樣的做法就會讓駭客可以直接攻擊到內部的伺服器和NAS,容易出現資安漏洞。

很多網路文章會說變更預設連接埠就可以避免被駭客發現、攻擊,我可以告訴你,那不是真的!因為真正的駭客超會使用各種工具驗證,一台電腦有65536個連接埠也都能用工具快速掃描,並找出該連接埠的特徵為何,甚至還能知道是哪個版本、找出相對應的漏洞來利用。

很多網路爬蟲其實就是駭客們撰寫出來的搜尋程式,透過自動化來放大攻擊目標、自動入侵、植入後門等等,有些資安滲透測試工具也是用類似的手法(透過自動化程式)來進行資安分數的評估!

所以我的建議是能不對外開放的服務就不要開,對外的服務連接埠越少就越安全!

企業就有了資安認證,並不代表永遠安全!

有些大型企業除了要做好本身的資安防護之外,還會需要請相關的供應廠商配合做好資安防護,因為現在駭客們會進行迂迴攻擊,透過供應鏈的關係來滲透至這些資安防護嚴謹的企業或政府單位,而且很多供應鏈中的廠商並沒有那麼重視資安防護,自然就會成為其中的漏洞。

資安漏洞會隨著時間而有變化,大多數來說是會不斷發現新的漏洞,若是有公開揭露但廠商卻仍未修補的缺失、弱點或錯誤,都能稱為是零日漏洞(或是稱為零時差漏洞),而駭客針對這些零日漏洞發動的攻擊就稱為零日攻擊(或是稱為零時差攻擊)。

過去許多大型軟體廠商(例如微軟、Google等)都會有巨額獎勵金發給優先找到新漏洞的資安研究者/白帽駭客們,好讓他們有時間修補漏洞,但現在因為找到漏洞的獎勵金大幅縮水,使得許多資安研究者/白帽駭客們乾脆直接公佈這些漏洞,所以零時差攻擊才會變得更多~

目前多數的資安認證都是較偏向文書作業的審核流程,派人來稽核,這些人給的分數夠高就能獲得資安認證,但實際的駭客攻擊可不是按照文書的SOP;也許將來會有類似派紅隊攻擊來稽核企業資安的認證方式,到那時,我才會覺得比較可信!

企業資安最大的弱點永遠是在「人」的身上!

社交工程攻擊是駭客們最愛使用的手法之一,還有專門的SET(Social-Engineer Toolkit)工具包,利用人們的好奇心、信任、貪婪或一時錯誤來進行攻擊,最常看到的就是釣魚郵件、釣魚網站,現在還有透過簡訊、IM私訊(例如Line、FB Message等等)更多管道來攻擊。

而在前面提到的資安研究員/白帽駭客們因為不爽軟體大廠把獎勵金嚴重縮水、憤而將零日漏洞公告給全世界知道,這也算是因為「人」而造成的資安問題!

事實上台灣企業也會遇到對公司心懷怨恨的離職員工,透過許多方式來報復公司,像是:

  • 把機密資料帶走,然後去競爭對手公司上班
  • 把重要伺服器或NAS裡面的資料全部刪除
  • 離職時故意變更重要伺服器或NAS的帳號密碼

不只是離職員工會挾怨報復,也有因為在職員工造成的資安事件:

  • 誤信釣魚信件、簡訊,被駭客得知公司網路銀行的帳號密碼
  • 誤信AI語音詐騙,以為是老闆直接來電要求轉帳,造成財務損失
  • 盜取公司研發、客戶等重要資料,再轉賣給他人來賺取業外收入
  • 利用公司伺服器進行加密貨幣採礦,造成電費爆增、資安出現漏洞

農業時代的社會風氣單純,人與人之間的信任度較高、也比較少有詐騙的事件;資訊時代的社會風氣已和過去不同,人與人之間的信任度越來越低,主要原因之一就是因為被騙怕了、不想再被騙!

即便現代人的警戒心很高,但詐騙集團和駭客組織還是有辦法能用新科技來進行詐騙,因為大多數人就是會不懂新科技而有了資訊落差,使得壞人們才可以利用新科技來詐騙。

想要預防壞人用新科技來詐騙,最好的方式就是比他們更懂新科技!

了解駭客的攻擊思維,資安防護才能更有效!

資安面向實在太廣泛,若是企業想要面面俱到、做好防護是真的很不容易,例如從公開來源情報(OSINT)開始就要做好適當的把關,別讓不能外洩的資訊輕易流出,說起來當然簡單,但實際做起來卻很費心。

若是能了解並模擬駭客們常用的攻擊手法,並針對企業本身的資訊網路架構進行補強,這樣絕對能有效提高企業的資安防護能力,因為我就是這樣協助我的企業客戶進行資安改善的!

唯有勇於面對、提早佈署,才能有機會避免資安風險的發生!