企業「資安防護」大全!有哪些常見漏洞,又該怎麼補上?
2021年末的資安漏洞震撼彈「Log4Shell」,為企業資訊安全的議題敲響一記警鐘,身處網路日益便捷的時代,我們可以透過網際網路滿足遠距辦公、線上購物等需求,但企業的資訊安全相當於商業機密,一旦遭到竊取,將對公司造成難以估計的損失。該如何落實資安防護,避免重要資料暴露在風險之下呢?
到底何謂資訊安全?從「資安鐵三角」說起
資訊是由各種資料匯集而成,對企業而言包括:合作廠商、客戶資料、專利技術、公司金流紀錄等都屬於資訊安全保護的範疇,假如上述的有價資訊被外部人掌握愈多,資安風險也會隨之擴大。
資訊的價值可以直接或間接性地來衡量,為了讓資訊的價值最大化,公司就必須制定相關政策與措施,藉此降低資訊遭到竊取、竄改、滅失或遺漏的可能性發生,而資安的意義在於保護資訊不被非法存取或揭露,且在任何階段沒有不適當的修改與損毀。
在數位聯網的時代下,企業啟動資安防禦計畫之前,第一步要執行的是對現有的公司資訊進行盤點,並對內部環境通盤性的了解,再透過制定防護策略、建置資安保護系統,來鞏固企業資安,而資訊安全是建構在什麼原則之上呢?該如判斷資訊的安全性?我們可以藉由CIA Triad 來評判。
在資安的世界中「資安鐵三角」(CIA Triad) 是廣泛被採納的安全架構基石,資安團隊可鑑於以下三原則制定相關策略或評估潛在的威脅與漏洞:
一、機密性(Confidentiality)
機密性旨在對數據進行保密,也就是限制未經授權的資料之訪問與修改權,除了確保隱密性,也降低機密資料陷入威脅的機率。
常見的對策包含:將數據分類或標籤化,甚至是對資料存取者進行身份驗證、對傳輸中的數據進行加密,也有公司提供相關課程提高員工資安意識。
二、完整性(Integrity)
資安的完整性,指的是數據沒有遭受未經授權者篡改,以確保資料在整個生命週期內的一致性與精確性。舉幾個簡單的例子,如:對於在電商平台購物的消費者,希望所有產品與定價的資訊是準確的,並且任何訂購資訊在下訂單後不會改變;銀行端需要確保銀行存戶的帳戶金額的準確性與即時性,無論是透過ATM、網銀轉帳,餘額都無法被有心人士修改。
與機密性相同,完整性會因為篡改入侵檢測系統或修改系統日誌而直接受到損害,也可能是人為疏忽或編碼錯誤而造成資安的完整性受到威脅,常見的保護措施包含:電子文件導入數位簽章、獲取具公信力機構發行認證的安全性證書等。
三、可用性(Availability)
資安的可用性意味著已啟動或正在運行的程序,授權者能夠即時地訪問這些資源,假如某系統、應用程式或數據無法即時讓授權用戶進行使用時,那麼資訊就無法為企業產生最大化的價值。
許多情況都會危及可用性,包括軟硬體故障、電源故障、自然災害和人為疏失,電腦病毒也會直接衝擊可用性,常採取的應對策略包括:定期軟體修補與系統升級、備份等保護解決方案。
完善的企業資安該具備哪些條件?
一、硬體安全
硬體設備故障的發生,往往會伴隨著資料遺失及毀損,而硬體故障的原因很多,除了溫度、濕度、老化外,也需要考量電力不穩或天災的因素。透過定期檢視的硬體設備狀態,隨時備份重要資料,以及設置備用電源或不斷電系統等等,可降低硬體故障機率。硬體設備是非常明確的目標,當有心人士直接接觸到硬體設備時,就有機會竊取或破壞資料及資訊造成,如何適當地將硬體設備與外部做隔離,也是資訊安全防護規畫中必須具備的措施。
關於硬體安全的資訊安全防護,除了自行建置完善的機房環境外,尋找專業且可靠的機房代管業者,能有效節省許多支出,並降低維運與人力成本。
二、軟體安全
隨著資訊時代來臨,人們透過軟體技術將硬體的效益發揮的更加淋漓盡致。軟體包括的範圍很廣泛,從電腦作業系統、資料庫系統、應用程式到網站系統等,現今在工作及生活中我們已經非常依賴各種軟體來完成工作,因此當軟體環境被駭客入侵或因感染病毒等異常狀況時,對我們的影響也會非常巨大。
三、資料安全
不論哪個時代,資料保存都是個非常重要的課題,過去可能會透過圖書室,保險箱等措施來保護資料,只要特定地點進行保護就能達到防護的效果。而現今許多的資訊及資料都以數據的方式存放在不同的媒介上,例如個人會將資料存放於電腦的硬碟中或USB隨身碟,而企業則會將資料放在檔案主機中或來儲存設備裡,這些資料一旦被竊取、損壞或者遺失,對於個人及企業來說都是莫大的損失,更是成為資訊安全的一大隱憂,因此我們對於各種的資料處理,應該抱著謹慎態度去面對。
常見的五大資安威脅
一、網路安全
是指針對連接網路裝置、網路中傳輸的資訊、利用網路運作的軟體及透過的服務,這些項目的安全都包含在網路安全範圍內,有心人士會透過對網路的侵害,來達到竊取敏感資訊,癱瘓裝置、軟體或服務等,進而製造出個人的身份被盜用與詐騙,甚至是企業的重要資料被竊取或無法正常營運等問題。
■ 合適的資訊安全措施:主動式DDoS緩解服務、MDR威脅偵測應變服務、網管監控服務、資安顧問諮詢、資安防護架構規劃
二、系統安全
電腦系统或者網站系統的安全,會隨著技術的日新月異,隱藏於其中的缺陷也隨之浮現或被發掘,這些缺陷我們通常稱之為漏洞,而漏洞的存在將使得系统和資料的保密性、完整性、可用性、授權機制都面臨有心人士的威脅。針對系統安全,通常會透過對漏洞進行管理作為應對措施。漏洞管理的第一步就是定期進行資安檢測,如系統弱點掃描,並以風險為依據排定補救措施優先順序。此外最好隨時檢測資訊環境中是否存在異常的網路行為,以提前發現漏洞。
■ 合適的資訊安全措施:定期資安檢測、MDR威脅偵測應變服務、網管監控服務、資安顧問諮詢、資安防護架構規劃
三、應用程式安全
上述說明中有提到軟體安全中包含了應用程式安全,而應用程式玲瑯滿目,更與生活也息息相關,從文書作業、訊息的傳遞到商業的交易都有應用程式的存在。我們需要了解如何避免有心人士從應用程式的運作中,找出潛藏的漏洞,進而用以侵害個人隱私,財產甚至是人身安全。因此使用者必須留意且重視正在使用的應用程式之來源、發佈應用程式的單位或組織是否主動地檢視程式的安全性,並在整個應用程式生命週期內保護程式避免威脅迫害。降低網路犯罪者找出並利用應用程式中的漏洞來竊取資料、智慧財產以及機密資訊等行為。
■ 合適的資訊安全措施:定期資安檢測(網站弱掃、原始碼檢測、App認證)、資安顧問諮詢、資安防護架構規劃
四、資料加密及身份認證授權
在資料安全上除了確保資料的保存外,也要考慮到資料被竊取的可能性,目前有許多的機制及技術能對資料進行加密,讓非經授權的有心人士無法識別及解讀,萬一發生被竊取時,可以藉此增加對資料的保護能力,降低損害。近期頻傳的勒索病毒也是對資料保護的嚴重考驗,過去單純保護資料不被竊取的方式,已經無法滿足這種惡意行為,必須採取新的資安思維及防護技術來保障資料。現在已不再需要到特定地點辦理,使用網路就可以執行,大大地增加便利性,但隨之而來的問題是如何確保身份認證的授權身份、資料的管理及使用。近年來國際間提出許多相應的規範與認證,政府單位、金融機構服務及企業網站,可以參考或遵循國際標準或國家規範,來保護及使用民眾的資料。
■ 合適的資訊安全措施:防勒索雲端儲存服務、資安憑證(SSL憑證)、資安顧問諮詢
五、雲端運算安全
所謂的「雲端運算」與傳統電腦系統及架構不同之處,雲端運算是一定要透過網際網路來使用可共享的軟、硬體資源之運算技術。由於雲端運算是依靠著網路來實現,並且能將架構中的軟、硬體及應用程式,以共享的方式提供給不同用戶使用,因此在討論雲端運算安全時,必須將網路安全、系統安全、應用程式安全及資料加密安全及身份認證授權等條件一起考量,所以一個可靠且值得信賴的雲端運算環境必須同時具備多個面向的安全能力。
■ 合適的資訊安全措施:專業可靠的公有雲服務、自建雲服務、混合雲服務
該如何培養資安思維?
欲落實資安防護,培養正確的觀念非常重要,現任職於思科系統(Cisco)亞太區的雲端負責人Stephan Neumeier認為,資訊安全的觀念不應該只侷限在企業的資安團隊或開發團隊身上,而是全民都必須喚起資安意識,特別是年輕世代與長輩們都該理解資安的重要性。
現今的資安防護思維,其實不能只有單純地避免駭客入侵,反而是要以「確保關鍵服務持續運作」的角度來看待,目前有很多基礎建設都已經仰賴數位化管理,當資安出現漏洞,嚴重時可能會讓國家級的系統無法運作,至於我們能為資訊安全付出何種努力呢?其實安裝防毒軟體、為企業擬定資安計畫,都是我們能落實資安的方式。
將資訊安全內化為企業價值
疫情促使新零售時代崛起,信用卡支付逐漸普及化,COMMEET團隊早在2019年就覺察這樣的支付趨勢,所以我們持續在支付服務中進行深化,以確保客戶的企業虛擬信用卡資訊、持卡人資料等數據受到絕對的保障!
SSL憑證
SSL憑證(安全通訊協定)可為瀏覽器或電腦和伺服器或網路之間建立加密連結。在每次的 session時,SSL連結可保護信用卡資訊等交換機密資料不會遭到非授權方攔截。
PCI DSS標準合規認證
網站若具備了支付行為,就必須完成PCI DSS的認證,舉凡大型第三方支付或金流串接商,例如:綠界科技、國際知名的PayPal、Stripe,都有獲取PCI DSS的認證。
我們團隊的相關認證審查作業是交由支付卡產業安全顧問-安律信息技術進行安全查核,從2021年9月開始便啟動專案會議,並安排開發團隊定期教育訓練,除了維護網路安全、保護客戶的持卡人資料之外,我們期許能成為企業最信賴的夥伴。
在享受網路為我們帶來便利生活的同時,也應該做好風險管理,以免面臨個資暴露。企業端安全網一但被攻破,都將會是不可逆的重大危機。在保持公司與時代進步同行時,也要時刻提高警覺,越造高規格的資安防護政策來審視資訊安全是否到位。