什麼是企業安全性?

企業安全性考量涵蓋眾多層面,包括公司內部或專屬的業務機密,以及攸關隱私權法律的員工和客戶資料。企業安全性正成為眾所矚目的焦點,畢竟,舉凡 Facebook、Yahoo!、Target、Home Depot 和 Equifax 等跨國公司,都曾因駭客成功取得客戶敏感資料,而遭受鉅額罰款,並由政府單位介入處理。過去,大型企業無不致力於防範專屬程式碼或交易機密落入競爭對象或竊取者之手;現在,這些企業則需因應美國和歐盟的新隱私權法律:凡是濫用或遺失消費者資料的組織,皆需面臨高額罰款。此外,改以雲端基礎架構支援業務流程的做法,也為 IT 帶來新的企業安全性挑戰。

儘管就實務上而言,企業安全性應著重資料中心網路和網路伺服器作業等領域;但就技術層面來看,一切作為皆始於人力資源。部分安全性研究人員表示,在順利得手的駭客攻擊案例中,有高達三分之二的根本原因出在社交工程上。在社交工程攻擊中,攻擊者會企圖運用人性、員工誠信或容易誤信他人等弱點,著手取得網路或資料資源的存取權限。以電子郵件為媒介的網路釣魚攻擊,則會誘導員工按下連結,藉此下載和安裝惡意軟體。在語音網路釣魚 (透過語音或 VoIP 進行的網路釣魚) 攻擊中,駭客會透過電話與多名員工進行語音對話,從中竊取可破壞網路安全性的內線資訊 (例如密碼資訊)。簡訊網路釣魚 (透過簡訊進行的網路釣魚)、誘導式網路釣魚、魚叉式網路釣魚,以及水坑攻擊,全都是以社交工程流程為基礎的駭客技巧。即使最穩健的網路安全性系統,也有可能遭到這些攻擊媒介入侵,而唯一的應對之道,就是透過訓練、調查和篩選等方式,強化員工的安全意識。

自動化駭客攻擊會透過指令碼進行,旨在透過各種輸入進入點 (例如登入畫面、聯絡人表單、資料庫搜尋查詢,以及後端管理流程),持續鎖定網路伺服器和線上應用程式等資料中心資源。常見的指令碼機器人攻擊範例,包括 MySQL 注入駭客攻擊,以及跨站點指令碼漏洞。只要透過不安全的表單將程式碼傳送至伺服器,即有可能導致整個資料庫內容外洩,所有表格資訊、密碼和敏感的客戶金融資料,全都無法倖免。不同於密碼破解,程式碼注入駭客攻擊可讓駭客取得完整的系統管理存取權限,或是透過 FTP 和指令行建立後門,以通往伺服器。在成功竊取資料前,駭客通常會花費 30 到 90 天的時間,透過內部存取權限偵察所入侵的網路系統,再著手傳輸資料庫資訊,或安裝惡意遠端程式碼。

VMware 安全性概觀

《全球安全事件應變威脅報告:遭攻擊者玩弄於股掌之間的驚人現實》(Global Incident Response Threat Report: Manipulating Reality)

為什麼企業安全性如此重要?

加密措施在網際網路通訊中扮演的角色,相當適合用來說明企業安全性的重要性。在電子郵件寄出,或是使用者輸入密碼以登入網站時,資料會透過一連串的第三方管道進行點對點傳輸,除非資料已進行加密,否則在傳輸期間,惡意使用者將有機會藉由未經授權的存取,出手攔截或讀取資料。如此一來,對方就能在電信網路、網際網路服務提供業者或本機 WIFI 等管道中,安裝使用封包監聽軟體的未經授權代理程式,進而造成威脅。雖然透過上述連線寄送的資訊,各自具備不同價值,但無論是大型企業或其他複雜的組織,都不樂見具不良意圖的第三方運用開放管道,大舉監控旗下的交易機密、客戶通訊和內部討論。如果未加密的密碼和登入資訊落至入侵者手中,對方不僅有機會竄改個人帳戶和資料,甚至還能在取得資料中心存取權限後,大肆入侵整個企業網路。
正因如此,多數網站和行動應用程式現在皆已落實 HTTPS 加密機制,對各式各樣的使用者通訊管道進行 SSL/TLS 認證。許多資料中心也採用各項「軍用等級」的安全功能,包括生物特徵辨識、存取管理系統,以及 24 小時全年無休的設施監控機制,以防範未經授權的實體存取。適用於 IT 專業人員的訓練方案,有助於提高他們對社交工程攻擊訊號的警覺性。不過,即便實施了嚴格的實體存取控管措施,大型企業仍需面臨來自世界各地的駭客攻擊,當中甚至涵蓋受政府 (例如俄羅斯、中國、伊朗和北韓) 贊助的活動。
這些受政府贊助的駭客攻擊,往往會以攸關武器計畫、航空學,或其他敏感產業先進研究的軍事工業工程機密為目標。此外,受政府贊助的駭客攻擊也會鎖定媒體公司,以做為政治宣傳活動的基礎,或企圖竊取個人通訊內容,進而從中掌握政府官員的貪污行為。
在最嚴重的情況下,受政府贊助的駭客團隊或想出風頭的駭客甚至會進行具高度影響力的攻擊行為,包括恐怖主義攻擊事件,甚或造成人命損失的網路戰。Stuxnet 病毒就是其中一個範例,這是由商業間諜和情報機構所引發的駭客攻擊。無論是商業間諜、情報機構、網路罪犯,或是想出風頭的駭客,都有可能鎖定至關重要的社會性基礎架構 (例如發電廠、電信設施或工業生產設施),期望造成功能喪失或實體設施損害,繼而引發大眾的不安和混亂。相較之下,犯罪型駭客通常只會竊取信用卡資訊、銀行帳戶存取權限和加密貨幣,藉此為個人謀取金錢利益。現在,非法網站上已有數百萬筆信用卡號待價而沽,最低只需 $1 美元,就能取得信用卡號碼。以消費者個人資訊為目標的駭客攻擊,則有可能造成身分識別竊取、冒名盜刷或款項挪用等情況,除非由執法單位或國際機構出手遏止,否則相關單位往往難以偵測且防不勝防。

企業安全性架構

企業安全性架構不僅要著重於實體存取、社交工程和指令碼機器人攻擊等層面,更應避免密碼輸入系統遭到破解,並抵擋使用者輸入管道的遠端程式碼注入。網路防火牆為抵禦惡意駭客攻擊的主要防衛機制。現在,多數網路防火牆軟體套件都可即時掃描封包資料,以揪出潛在的病毒、惡意軟體、蠕蟲和勒索軟體。不過,防毒掃描也存在一大問題,因其僅能採取亡羊補牢的做法,需由專業機構先行識別惡意軟體,才能加以偵測。在所謂的「零時差」攻擊中,有心人士會利用安全性專家未曾偵測或分類的程式碼,著手滲透網路、軟體平台、韌體裝置或作業系統。正因為零時差攻擊無法事先防範,許多公司都需實作多層安全性原則,以便在發生不可避免的威脅後,有效加以隔離。

在施行實體存取限制後,企業安全性還可著重於兩大基本層面,亦即加密資料傳輸作業,以及建立可供授權使用者存取的防火牆設定。現在,採用使用者登入系統的多數平台,都會設置一道封鎖程序,如果在登入時發生了 5 次以上的密碼錯誤,使用者就會遭到封鎖,以防範破解攻擊。只要使用 IP 封鎖功能,即可減少由單一 IP 位址重複進行的未經識別登入嘗試。整合防毒掃描功能的防火牆軟體,則能即時比對資料封包傳輸作業和已知的惡意軟體特徵,藉此識別有害的檔案,並避免意外安裝來自網路釣魚攻擊或下載內容的病毒、蠕蟲和木馬程式。安裝網路應用程式防火牆 (WAF),有助於為網路表單增添另一層保障,進而防堵跨站點指令碼和 MySQL 注入等攻擊。來自 Symantec、McAfee、Trend Micro、Kaspersky 和 Bitdefender 等公司的防毒軟體,在現行的企業安全性中扮演著不可或缺的角色。許多大型企業也會運用內容交付網路 (CDN) 提供的服務,以識別和防範生產作業環境中的 DDoS 攻擊。

奠定企業安全性基礎的最佳實踐方式

目前,確保企業安全性的最佳實踐方式,就是套用各種可用的業界方法,以兼顧實體安全性、防火牆、加密、預防詐騙、侵入者偵測、網路應用程式防火牆和防毒等層面,同時做好心理建設,預期駭客會透過各種方法滲透系統、破壞硬體,並竊取資料。在「盡可能減少傷害」的原則下,請務必將目標放在盡快偵測和識別入侵者上,同時打造具備出色資料隔離機制的系統,以防止攻擊媒介不斷蔓延。微分段會採用隔離機制,防範入侵者從單一進入點橫向移動至其他設施,從而保護企業網路中的每個個別虛擬機。周邊網路 (DMZ) 模型則與防火牆、防衛機制和護城河息息相關,會在外側防禦圈內使用經 Proxy 邊緣伺服器強化的增強隔離措施,進而將網路流程和區域網路區隔開來。VMware vSAN 資料儲存區可用來加密企業資料庫,而 VMcrypt Encryption 則能運用在儲存空間、存檔和備份檔案上。

企業安全性實踐方式不可忽視的另一個重大問題,則為系統管理權限提升。管理者帳戶和系統管理權限必須更密切地進行控管,而且應立即偵測是否遭到未經授權的使用者部署。有越來越多的即時網路監控機制提供機器學習和人工智慧支援的分析作業,可進一步偵測入侵者、在未經授權的情況下傳輸敏感資料,以及系統管理權限提升等問題。由於未經修補的軟體平台和網路伺服器作業系統,已成為網路入侵及資料外洩的兩大主因,企業必須格外保持警覺,以便立即於生產作業環境中套用必要的更新。將安全性升級作業自動化,可大幅加快套用重大修補程式的回應速度。建議在虛擬化管理程序層級安裝和設定無代理程式的防毒軟體,以便在不需人為干預的情況下自動套用安全性回應措施,從而防範惡意軟體或入侵攻擊,如此一來,就能縮短雲端資料中心的回應時間,並讓數百萬個虛擬機同時執行。