網路犯罪以前往往是無差別式機會主義,惡意程式隨機散布,有設備未修補或有人上當就成為受害者。侵入內部後向外滲漏資料,內部使用者可能成為不知情的共犯。
為了討論關於事件和資料外洩,先定義事件與洩漏的差別
Incident v.s. breach
Incident : 危及資訊資產的完整性、機密性或可用性的安全事件。
Breach : 造成確認的未經授權的披露資料(而不僅僅是潛在洩露)的事件。
這二年的手法轉變成有目標性的勒索(Targeted ransomware),有情感上(民族主義或政治)或財務上的針對性。以往勒索軟體單單只加密本機檔案,受害者可能選擇不付贖金,一切重新來過。偷走資料的目的是為了威脅逼迫受害者支付贖金。
Targeted ransomware 還有一項特色,為了滲透潛伏大多利用APT (Advanced Persistent Threat )手法,有組織有規劃的長期秘密工作,信仰和財務可能是最大的動機;單純搞破壞炫技已不多見。
Targeted還有另一種針對,傾向於遵循一個基本模式:針對組織環境進行規劃。他們研究受害者,瞭解漏洞在哪裡,例如缺少更新或更新失敗,以及員工容易受到網路釣魚活動的影響。駭客了解目標的弱點,然後展開一項活動,讓內部人員不小心誤載惡意軟體。
儘管資料外洩可能是無心之過,但未經授權的竊取並出售個人身份資訊 (PII)或公司專利、營業數據以獲取利益或破壞,則可能會造成組織嚴重損失。
探討資料外洩統計結果,是內部威脅多,還是外部攻擊多?
這個問題在很多專家的統計結果呈現各說各話的局面,這可能跟現在主要的滲透取得資訊動機手法有關。認為外部威脅多的,可能是因為邊際防火牆,及入侵偵測系統上發現並且阻擋到的可疑事件。傳統的安全防護方案著重在外部,對內部的偵測本來就少,或者沒有偵測內部活動的方法;代表內部即使有資料洩漏,也不會被發現,看起來外部威脅比較多的假象。
另外一個原因是,內部威脅(包含已滲透進來的)專業越來越熟練,新的手法還沒被資安系統偵測識別出,就不會知道有內部威脅。想要竊取組織資料的人可能是敵對的外國政府、組織、職業罪犯或憤怒的人士;但他們很可能進入組織成為自己的員工,儘管現在技術進步,仍很難發現可能竊取或洩露資料的員工。
企業的規模、產業別與外洩事件的相關度
甚麼產業是最可能被覬覦的對象? 鎖定對象針對性的攻擊,具備如此大費周章複雜程序,想必目標的選擇一定精挑細選,高價值目標的高價資產是首選。這代表著,受害的組織可能具備部分或全部特質;如高科技產業、金融產業、或年收上億、或規模夠大,指標性組織(如國防部)等。
台灣的中小企業佔總體97%左右,理論上大部分都不容易成為被針對的目標,雖然有可能遭無辜波及。那為何總覺得這些外洩案例這麼聳動? 因為新聞裡的這些受害企業實在太具備指標性了,甚至有些企業體上述的特徵全部符合。但我們並不排除,以前那種亂槍打鳥式的勒索仍然會存在,只是因為沒利用APT滲透,比較容易被發現。
排除這個最大的外部攻擊,內部人員的威脅對中小企業而言才是防不勝防的。由於主動識別和預防無意或有目的的內部威脅可能非常困難,許多公司實際上意識到了內部人員的風險,但與網路解決方案的領域不同,公司和機構也在為解決方案而苦苦掙扎。
不論外部內部,要防的是資料失竊
由以上的討論發現,外洩防護已經沒辦法分得出內外了,也不可能靠單一的技術來解決。應該回歸到保護的標的物本身: Data的使用、移轉、儲存上面的保護。
資料失竊類型分類與對策:
- 遺失裝置-裝置遺失後,實施註銷管理,資料自動清除等機制。內部儲存資料在未被認證的狀態下,保護其不能被其他平台存取。
- 傳輸活動- 限制不必要的網路傳輸活動,如電子郵件、FTP、IM、雲端存取等,如果必要,留下可供追查究責的證據。
- 可卸除式裝置-防止不必要的存取,或採取有效的寫出管制與加密保護。
- 資產與更新管理-掌握資產狀態,與定期更新修補,防止被利用成為工具。
- 使用者活動-使用者使用檔案的活動,作業系統的事件,程序的活動等,保留與資料存取相關的記錄。
- 第三方存取-儘管採取一切可能的措施來確保內部資料的安全,惡意分子仍可以使用第三方供應商系統進入組織。甚至軟體供應商來源的修補軟體,都可能被植入惡意程式。