合規與風險
常見的企業遭駭五大途徑,多是資安習慣不良而引狼入室
根據趨勢科技最近的一份全球調查指出,53% 的受訪者表示因為威脅會不斷演進,所以他們不相信資安防護可以應付未來的威脅。我們尊重這樣的看法,但卻不能認同。請繼續閱讀來了解如何將資安融入流程前期的一些最佳實務原則以及如何讓您企業從容應付未來的資安威脅。
本文將分享兩種改變我們思維方式以便化被動為主動的方法,以及保護您受攻擊面的最佳實務原則,好讓您防範一些最常見的資安威脅。
網路駭客導入技術的時間點總比企業晚很多
許多人都覺得,網路資安是一場貓捉老鼠的遊戲,而駭客經常能夠透過一些新式的手法、技巧及程序 (TTP) 來破解資安人員的努力。
的確,每當有新技術推出時,除了企業會採用之外,駭客集團也會希望將它們運用到攻擊當中。但讓我們想想到底這些不肖駭客是否真是如此創新。實際的情況是,大多數時候,每當有新技術出現時,除非有夠多的企業或使用者開始使用,否則網路駭客還是會繼續使用他們得心應手的方法。
例如,今日我們所知道的電子郵件是由 Ray Tomlinson 在 1971 年開發出 ARPANET 網路郵件系統時所發明。然而電子郵件是直到 1980 和 1990 年代才被企業和一般使用者採用。從上圖您就可以看出,駭客是從 2000 年早期才開始大量散布垃圾郵件。
這給了資安界 10 至 20 年的時間來開發電子郵件威脅防護。事實上,我記得我 1996 年開始在趨勢科技上班時,趨勢科技就已經有了電子郵件掃描軟體,支援的郵件包括:cc:mail 和 MS Mail,還有 SMTP 流量掃描。如果企業在 1990 年代末期就建置了這類解決方案的話,他們早就已經能夠應付 2000 年早期才開始大量散布的垃圾郵件。
時間快轉到 2023 年,我們看到越來越多的雲端式攻擊,但像 Trend Micro™ Deep Security™ 這類能夠保護雲端伺服器 (VMware、Linux、虛擬伺服器等等) 的資安解決方案,早在 2010 年就已經存在。同樣地,早在這個受攻擊面成為駭客的攻擊熱區之前就已經有一些能夠加以防範的資安功能。
所以,當我看到人們覺得他們不可能讓資安防護能應付未來的威脅時,我想說,他們應該跟一些資安廠商對話,好好找出他們目前資安上可能已經不足的地方。
全球威脅研究為企業描繪了未來的樣貌
另一項因素是:能否有前瞻性眼光來發掘潛在的資安威脅領域。早在資安界蔚為風潮的多年之前,趨勢科技就已經在內部成立一個「前瞻威脅研究」(Forward-Looking Threat Research) 團隊 (隸屬於 Trend Micro Research 之下),其角色就是專門研究一些最新的技術領域,找出我們未來可能必須面對的威脅類型。例如以下幾篇文章:
這些遠見都有助於業界開發出一些新的工具和解決方案來應付即將出現的威脅。
駭客成功駭入企業的前五大途徑
現在,讓我們來深入了解一下您如何應付一些最常見的資安威脅,不讓威脅對您造成影響。不幸的是,這些問題大多不是因為資安產品不良、而是資安習慣不良所造成。今日駭客成功駭入企業的前五大途徑是:
- 使用廠商已經修補的已知漏洞。
- 資安產品太久沒更新,以至於缺乏或未開啟可偵測威脅的功能。
- 帳號登入憑證遭竊,使得駭客能在目標系統上執行腳本或甚至關閉防毒軟體。
- 駭客入侵網路上的未知裝置 (您無法保護您看不到的裝置)。
- 應用程式組態設定錯誤讓大門敞開,引來駭客入侵 (雲端應用程式及帳號的組態設定錯誤最為常見)。
保護企業讓您應付一些常見的資安挑戰
好消息是,以上所有問題都能透過一些新的流程和技術來解決:
- 採用軟體服務 (SaaS) 產品,這樣一來廠商會負責管理產品漏洞的修補。
- 與您的資安廠商確認您已使用他們的最新版本 (使用 SaaS 就沒這問題),並且啟用了最新的功能。
- 關鍵帳號應該採用多重認證 (MFA)。
- 尋找一些可發掘受攻擊面的解決方案來協助您找出未知的裝置,尤其是任何對外連網的 IP。
- 花點錢讓您的系統管理員去上一些有關最新技術的課程,確保他們了解如何運用這些技術。
- 尋找一些可偵測組態設定錯誤的雲端資安狀況管理解決方案。
下一步
對於那些覺得威脅的變化太大所以無法讓資安防護可以應付未來威脅的人,讓我們一起來改變他們的想法。資安威脅當然會經常變化,但通常是在新的防護技術已經在市場上出現一段時間之後,只是企業必須將這些技術融入自己的防禦當中。此外,正如我們所見,改善您的人員、流程及技術,對於讓資安防護能夠從容應付未來的威脅也有很大幫助。