2016 年對各組織而言個充滿挑戰的一年,這尤其是因為網路攻擊者主要利用勒索軟體取得了引人注目的成功。亞太地區的組織也不例外。這一年也教會了我們一個寶貴的教訓:沒有任何一個產業或領域是絕對安全的;只要你的安全措施中有漏洞,有決心的攻擊者就肯定會找到。
2017 年應該成為各組織發起安全風險評估常態計畫以維持網路安全領先狀態的契機。新技術以及日漸提升的連線能力水準正在讓企業脫胎換骨,並在區域中帶來了業務發展商機。
瞭解到安全問題並不代表要完全規避新技術。企業要變得更加敏感,並過瞭解當下的潛在威脅及移轉風險的措施來領先于網路罪犯。
那麼,我對亞太地區在 2017 年的網路安全作何預測呢?
1. 工業控制系統可能會被用來對付您
工業控制系統 (ICS) 是各個業務不可或缺的一部份,特別是對亞太地區而言。舉例而言,這包括建築管理系統、暖通與空調系統 (HVAC) 以及安全門。
多數企業會將其建築管理需求外包,所以他們未必知道第三方供應商是否安置了足夠的安全措施。對於惡意行為者而言,要執行可造成巨大破壞的攻擊並非不可能。
舉例來說,攻擊者能將公司伺服器機房或資料中心的溫度調高到 50°C,並關閉建築物的所有出入點,不讓任何人將硬體實際移動至更安全的地點。硬體最終將會過熱,對企業、其客戶與其合作夥伴都造成極大不便。
您需要考量的事:
- 當您好好想過後,會發現近乎所有企業都有遭遇這類攻擊的風險。企業領導人必須有基礎防護步驟外的安全性考量。各組織需要對第三方與自身網路的潛在弱點進行全面性的檢視。除此之外,他們必須準備好能協助因應任何潛在攻擊的計畫。
- 您是否檢查過您的業務仰賴那些非 IT 設備,而這些設備又有著哪些安全措施呢?這些設備是否連線至網際網路,並且由第三方廠商管理?
- 外包給第三方廠商時,他們採取了何種層級的安全確保措施?他們是否能提供他們所使用的安全措施資訊,更重要的是,他們是如何保護並管理您的網路與系統的?
2. 物聯網 (IoT) 裝置將成為網路犯罪的目標
市場研究機構 Gartner 預測聯網「產品」的數量將會從 2015 年的 65 億台增加至 2020 年的 210 億台。這將會帶來更好的客戶體驗,聯網裝置能提供各類資訊,無論是巴士煞車是否需要更換,還是採礦現場的機械是否在可接受的參數範圍內運轉。
然而,聯網裝置也將成為網路犯罪的目標,特別是當人們對第三方廠商的安全無比信任時。這些端點裝置提供成千上萬個組織網路的潛在進入點。這些進入點必須得到安全保障。在 2016 年,我們看見了第一個實際難題的出現,受到入侵的裝置在殭屍網路中相互連線,對銀行與網路基礎設施的重要部分發動攻擊。
任何連線至您電腦或網路的裝置都有潛在風險。這些裝置的類型囊括著從閉路電視攝影機到複雜機械中的微小感測器的各種裝置,且它們未必會是安全專業人員的首要考量重點。但如果它們連線至網際網路,或者由第三方管理,就可能置企業於險地當中。
專心致志的網路罪犯會用盡一切神通,從正統方式到神來一筆,試圖存取他們所要的資訊,並評估他們能進入的方式。
您需要考量的事:
- 瞭解到物聯網不只是未來的可能或是噱頭,而是現在進行式。詢問參與安全確保的供應商他們如何確保所提供裝置的安全。我們見過太多裝置沒有任何安全措施,或者仍使用某種預設使用者名稱或密碼的案例。這些預設內容都應該在裝置部署於您網路中時進行變更。
- 所有使用原廠安全設定的裝置都只是在等著受到入侵而已。IT 主管必須變更這些標準系統管理員密碼,來避免成為目標。
- 這些裝置也應該經過定期檢查,查看它們是否符合公司的安全政策。
3. 我們可能會看見勒索軟體掀起各種風波,並帶來各種棘手意外
勒索軟體牽涉到攻擊者鎖定企業的資料,並藉此要求贖金。如果您認為在 2016 年各個攻擊者存取資料並藉此要脅受害者等種種勒索軟體事件已經夠糟糕了,2017 年只會更糟。我們可以期待看見更大量且使用更多精密技術的攻擊。如果發現 Locky 勒索軟體能作為某種指標的話,金融惡意軟體的數量將在 2017 年節節攀升。
令人意外的是,因為企業與個人先前已經支付了贖金,接下來勒索軟體的要價可能會增加。先前就有過支付贖金且解鎖資料後,受害者再次遭到攻擊的案例。支付贖金來解鎖您組織中的一或多台機器,並不表示您就完全免於在環境中不斷傳播的威脅。我們的建議一直都是:不要支付贖金。
您需要考量的事:
- 如果只有不到 72 小時能進行因應,您是否有全面的備份策略以及反制這些攻擊的措施?
- 您上次測試並驗證備份是什麼時候?
- 您是否套用了基礎的檔案封鎖來預防威脅進入您的組織?特定檔案種類可能會對組織造成風險。請您捫心自問,「我們是應該允許所有檔案,還是應該控管好風險,不讓可能造成問題的惡意檔案種類通過」?
4. 我們將遇到嚴重的資料信任度問題
人們將持續誤以為不安全的事物其實很安全,無論背後是因為過度信賴還是遭人欺騙。舉例而言,機密資訊可能會遭到揭露或開放,表面上看起來是來自某個組織,其實是被惡意攻擊者所植入。無論如何,最終都必須以企業聲譽風險與金錢來作為代價。
多年以來,資安專業人員都將重心放在稱為 CIA 三要素的模型,其專注於機密性、完整性與可用性,並且是為引導組織內部資訊安全政策所設計。許多組織一直都將機密性視為保護其資料不受盜竊的方式,或將可用性視為確保他們能存取資料或系統的方式,但究竟有多少時間是投注在資料或系統的完整性上?
想像一個資料專案,花了數年執行,最後組織所收集並分析的資料卻遭到損毀。舉例而言,一間在研發上大量投資的資源公司正在尋找下一個開採地點,他們收集了非常大量的資料,但卻有攻擊者操控了這些資訊,讓資料變得一文不值。如果資料的完整性遭到操控,哪怕只是一點點的資訊遭到改動,該公司都可能在錯誤的地方開採,不但浪費時間和金錢,還可能對環境造成災害。這可能造成各公司做出錯誤決策,橫生更多枝節。系統在攻擊後遭到抹除也是一樣的狀況,移除了所有事件發生的蹤跡。
另一個駭人的例子是個人化用藥,一個人的基因組成在當中經過精密分析,不再需要透過嘗試來找出何種藥物有效,醫師可以量身訂做出正確的藥物組合與劑量。如果攻擊者變更了這類程式上的資料,不僅會影響到藥物的功效,還可能對患者造成長遠的負面影響,或甚至威脅到其生命,所以當中的風險十分之高。
那麼該如何因應呢?
首先,各企業都應該欣然接受這些變化,因為它們能夠進一步數位化服務與改善我們的生活方式。但在進一步數位化所提供或接受的服務前,必須先確保資料受到保護。驗證應該是所有平台以及每個開發階段的中心,並且是每段供應商與客戶關係的核心。其完整性必須受到保護,避免受到未授權方的修改。資料必須僅提供給獲得授權的一方,讓他們能在需要時存取資訊。
您需要考量的事:
- 各企業應該考量兩大關鍵:他們的敏感資料存放於何處,以及有哪些資料是業務營運的關鍵。有點令人意外的是,很多組織甚至難以回答這些問題。這可能導致資源的挪用,從安全的形式上來說,便是安全控制廣泛用於全組織當中,而非鎖定在最需要安全控制的區域。這可能導致在購買與採用安全措施時的成本增加。
- 我們的員工當中有哪些人能存取敏感資料?只要知道誰能存取文件或大數據儲存區,便幾乎能理解他們能存取那些資料。
- 降低敏感資訊風險的關鍵也是瞭解資料受到保護的方式。是否已經採取防護措施,這些防護措施是否能妥善減輕企業任務關鍵功能的風險?
您對 2017 年的網路安全預測為何呢?在評論中與我們分享你的想法吧。