什麼是企業安全性?
企業安全性考量涵蓋眾多層面,包括公司內部或專屬的業務機密,以及攸關隱私權法律的員工和客戶資料。企業安全性正成為眾所矚目的焦點,畢竟,舉凡 Facebook、Yahoo!、Target、Home Depot 和 Equifax 等跨國公司,都曾因駭客成功取得客戶敏感資料,而遭受鉅額罰款,並由政府單位介入處理。過去,大型企業無不致力於防範專屬程式碼或交易機密落入競爭對象或竊取者之手;現在,這些企業則需因應美國和歐盟的新隱私權法律:凡是濫用或遺失消費者資料的組織,皆需面臨高額罰款。此外,改以雲端基礎架構支援業務流程的做法,也為 IT 帶來新的企業安全性挑戰。
儘管就實務上而言,企業安全性應著重資料中心、網路和網路伺服器作業等領域;但就技術層面來看,一切作為皆始於人力資源。部分安全性研究人員表示,在順利得手的駭客攻擊案例中,有高達三分之二的根本原因出在社交工程上。在社交工程攻擊中,攻擊者會企圖運用人性、員工誠信或容易誤信他人等弱點,著手取得網路或資料資源的存取權限。以電子郵件為媒介的網路釣魚攻擊,則會誘導員工按下連結,藉此下載和安裝惡意軟體。在語音網路釣魚 (透過語音或 VoIP 進行的網路釣魚) 攻擊中,駭客會透過電話與多名員工進行語音對話,從中竊取可破壞網路安全性的內線資訊 (例如密碼資訊)。簡訊網路釣魚 (透過簡訊進行的網路釣魚)、誘導式網路釣魚、魚叉式網路釣魚,以及水坑攻擊,全都是以社交工程流程為基礎的駭客技巧。即使最穩健的網路安全性系統,也有可能遭到這些攻擊媒介入侵,而唯一的應對之道,就是透過訓練、調查和篩選等方式,強化員工的安全意識。
自動化駭客攻擊會透過指令碼進行,旨在透過各種輸入進入點 (例如登入畫面、聯絡人表單、資料庫搜尋查詢,以及後端管理流程),持續鎖定網路伺服器和線上應用程式等資料中心資源。常見的指令碼機器人攻擊範例,包括 MySQL 注入駭客攻擊,以及跨站點指令碼漏洞。只要透過不安全的表單將程式碼傳送至伺服器,即有可能導致整個資料庫內容外洩,所有表格資訊、密碼和敏感的客戶金融資料,全都無法倖免。不同於密碼破解,程式碼注入駭客攻擊可讓駭客取得完整的系統管理存取權限,或是透過 FTP 和指令行建立後門,以通往伺服器。在成功竊取資料前,駭客通常會花費 30 到 90 天的時間,透過內部存取權限偵察所入侵的網路系統,再著手傳輸資料庫資訊,或安裝惡意遠端程式碼。

VMware 安全性概觀

《全球安全事件應變威脅報告:遭攻擊者玩弄於股掌之間的驚人現實》(Global Incident Response Threat Report: Manipulating Reality)
為什麼企業安全性如此重要?
企業安全性架構
企業安全性架構不僅要著重於實體存取、社交工程和指令碼機器人攻擊等層面,更應避免密碼輸入系統遭到破解,並抵擋使用者輸入管道的遠端程式碼注入。網路防火牆為抵禦惡意駭客攻擊的主要防衛機制。現在,多數網路防火牆軟體套件都可即時掃描封包資料,以揪出潛在的病毒、惡意軟體、蠕蟲和勒索軟體。不過,防毒掃描也存在一大問題,因其僅能採取亡羊補牢的做法,需由專業機構先行識別惡意軟體,才能加以偵測。在所謂的「零時差」攻擊中,有心人士會利用安全性專家未曾偵測或分類的程式碼,著手滲透網路、軟體平台、韌體裝置或作業系統。正因為零時差攻擊無法事先防範,許多公司都需實作多層安全性原則,以便在發生不可避免的威脅後,有效加以隔離。
在施行實體存取限制後,企業安全性還可著重於兩大基本層面,亦即加密資料傳輸作業,以及建立可供授權使用者存取的防火牆設定。現在,採用使用者登入系統的多數平台,都會設置一道封鎖程序,如果在登入時發生了 5 次以上的密碼錯誤,使用者就會遭到封鎖,以防範破解攻擊。只要使用 IP 封鎖功能,即可減少由單一 IP 位址重複進行的未經識別登入嘗試。整合防毒掃描功能的防火牆軟體,則能即時比對資料封包傳輸作業和已知的惡意軟體特徵,藉此識別有害的檔案,並避免意外安裝來自網路釣魚攻擊或下載內容的病毒、蠕蟲和木馬程式。安裝網路應用程式防火牆 (WAF),有助於為網路表單增添另一層保障,進而防堵跨站點指令碼和 MySQL 注入等攻擊。來自 Symantec、McAfee、Trend Micro、Kaspersky 和 Bitdefender 等公司的防毒軟體,在現行的企業安全性中扮演著不可或缺的角色。許多大型企業也會運用內容交付網路 (CDN) 提供的服務,以識別和防範生產作業環境中的 DDoS 攻擊。
奠定企業安全性基礎的最佳實踐方式
目前,確保企業安全性的最佳實踐方式,就是套用各種可用的業界方法,以兼顧實體安全性、防火牆、加密、預防詐騙、侵入者偵測、網路應用程式防火牆和防毒等層面,同時做好心理建設,預期駭客會透過各種方法滲透系統、破壞硬體,並竊取資料。在「盡可能減少傷害」的原則下,請務必將目標放在盡快偵測和識別入侵者上,同時打造具備出色資料隔離機制的系統,以防止攻擊媒介不斷蔓延。微分段會採用隔離機制,防範入侵者從單一進入點橫向移動至其他設施,從而保護企業網路中的每個個別虛擬機。周邊網路 (DMZ) 模型則與防火牆、防衛機制和護城河息息相關,會在外側防禦圈內使用經 Proxy 邊緣伺服器強化的增強隔離措施,進而將網路流程和區域網路區隔開來。VMware vSAN 資料儲存區可用來加密企業資料庫,而 VMcrypt Encryption 則能運用在儲存空間、存檔和備份檔案上。
企業安全性實踐方式不可忽視的另一個重大問題,則為系統管理權限提升。管理者帳戶和系統管理權限必須更密切地進行控管,而且應立即偵測是否遭到未經授權的使用者部署。有越來越多的即時網路監控機制提供機器學習和人工智慧支援的分析作業,可進一步偵測入侵者、在未經授權的情況下傳輸敏感資料,以及系統管理權限提升等問題。由於未經修補的軟體平台和網路伺服器作業系統,已成為網路入侵及資料外洩的兩大主因,企業必須格外保持警覺,以便立即於生產作業環境中套用必要的更新。將安全性升級作業自動化,可大幅加快套用重大修補程式的回應速度。建議在虛擬化管理程序層級安裝和設定無代理程式的防毒軟體,以便在不需人為干預的情況下自動套用安全性回應措施,從而防範惡意軟體或入侵攻擊,如此一來,就能縮短雲端資料中心的回應時間,並讓數百萬個虛擬機同時執行。