Action Now,抵禦潛在網路駭客攻擊
美國政府再次發表給美國企業的建議,提到政府因應日漸嚴重的網路攻擊威脅的作為,統整成給企業/組織八項建議措施,協助對抗網路攻擊的威脅。
在看完這封信之後,簡捕夢網單扼要地將這些建議翻成中文,將文中的建議重點標註出來方便閱讀。信件內容沒有高深艱澀的專有名詞,取而代之是簡單的建議。讓看這封信的人都可以明白政府給予的建議。
===信件內容===
美國政府一再警告俄羅斯針對美國的網路惡意行為,俄羅斯的攻擊行為正是對於美國經濟制裁的反擊。根據美國政府指出,俄羅斯正在嘗試進行任何網路攻擊的可能性。
美國政府持續強化網路安全防禦,做好面對潛在威脅的準備。來自總統的行政命令,促使美國政府的網路防禦進行現代化,並改善已被廣泛使用的技術。總統已經啟動橫跨政府及民營企業的計畫,用來強化電力系統、民生管線和水利相關的網路安全,指示各部門和機構強制實施新的網路安全和防禦措施。在國際聯合上,美國政府結合30餘個友邦和夥伴一同合作檢測和破壞勒索軟體的威脅,召集G7追究包庇勒索軟體罪犯的國家責任,並與友邦和夥伴公開究責這些惡意活動。
自烏俄衝突升級以來,美國政府便加快強化網路安全的腳步,持續向美國企業提供關於潛在威脅和網路安全保護的簡報和服務諮詢。美國政府努力為民間企業提供相關資源和工具,包括CISA的「Shields-Up」活動,竭盡全力保衛國家以因應網路攻擊。在現實情況中,大部分關鍵重大基礎設施由民間企業經營,民間企業必須採取行動保護所有美國人依賴的重大基礎設施。
強烈建議企業遵循以下步驟:
導入多因素驗證(MFA)
在企業系統上使用多因素身份驗證(multi-factor authentication),這會使得駭客很難駭進企業系統;
部署現代化資安工具
在企業的電腦及設備上安裝部屬現代化的資訊安全工具,以尋找並解決潛在的威脅;
更新修補漏洞,更改密碼
與資安專家確認,企業系統已經針對所有已知漏洞做好補釘更新及保護,並更改存取網路的密碼,避免以往已外洩的資料再次被利用;
建議導入服務: Deep Security、Nessus
備份企業資料,確保備份離線
備份企業的所有資料,並確保離線備份的資料不會被駭客入侵;
建議導入服務:雲端備份
進行企業資安演練
時刻進行企業的資安演練,確保企業在面對資安危機時,能夠迅速進行處理,以盡量減少任何網路攻擊造成的影響;
建議導入服務:BCP演練(請洽捕夢網)
加密企業資料
加密企業的資料,即使企業資料遭竊也無法被駭客所利用;
建議導入服務:SOPHOS
建立員工資安意識
進行員工教育訓練,確認他們認識駭客透過信件或網站所用的常見攻擊方法。鼓勵員工如果電腦或手機出現異常,例如過於頻繁的當機或連線速度非常慢,要盡速回報;
建議導入服務:社交工程(請洽捕夢網)
與當地政府及執法單位積極合作
在發生任何網路攻擊事件前,與當地FBI或CISA分部建立良好的合作關係。鼓勵IT部門與資安部門時常瀏覽CISA和FB的網站,取得技術性的資訊及其他有用的資源。
長遠來看,美國政府仍必須專注於加強美國的網路安全。鼓勵技術和軟體開發公司遵循下列建議:
從產品開發開始就考量安全
從開發產品開始就要建立資安要求,有句口號:bake it in, don’t bolt it on,就是表示將資安融入產品或服務,不是將資安當成附加產品。以保護企業的智慧財產權與客戶的隱私。
軟體開發環境的系統安全
僅在高度安全的系統上開發軟體,並僅准許特定的人員存取。如此一來,將使駭客很難從一個系統轉移到另一個系統並破壞產品或竊取企業的智慧財產權。
進行自動化安全測試
使用現代化工具檢查已知和潛在的漏洞。開發人員在發現漏洞的情況下,可以修復大多數軟體漏洞。某些自動化工具則可以在軟體公開或駭客入侵前,進行源碼檢測並找出大部分的程式錯誤。
建議導入服務:滲透測試(請洽捕夢網)、弱點掃描、源碼檢測
掌握程式碼來源
軟體開發人員必須對產品中的所有程式碼負責,即使是用開源原始碼。大多數的軟體是利用許多不同元件及函式庫架構而成的,大部分來自開源原始碼。確保開發人員明白他們所使用的元件出處(來源),最好建立「軟體物料清單」。以防未來某個元件存在漏洞時,企業可以快速找出並進行修復。
政府軟體採購納入資安要求
美國企業組織應實施美國總統的行政命令──改善國家安全。根據該行政命令,美國政府採購的所有軟體,現在都必須在其設計和部署方式上能滿足安全標準。也鼓勵企業組織,可以更加廣泛地遵循這些作法。
