混合式辦公模糊企業防護邊界
工作環境因新冠疫情的蔓延,造成人員移動的限制與居家辦公模式普及,資安疆界產生很大的改變。雖然疫情已流感化,但結合遠距、現場的混合式辦公完全沒有因隨疫情而遠去,成為職場的新工作模式。
根據Fortinet統計,超過逾六成企業因遠距工作發生資料外洩,主因為員工家用網路、端點設備的不安全,或是公私混用而增加駭客入侵的可趁之機。
在公司內部,IT可以管理的很好,但脫離公司網路環境,IT鞭長莫及,管理難度也陡升。如何武裝端點,讓其變成安全的堡壘,避免成為資料外洩的破口,變成一件重要任務。
重大個資外洩接連爆發
近期爆發多筆重大個資外洩事件。尤其從今年起,平均每個月發生二起。受害的企業涵蓋電子商務、政府機關、航空、汽車等各領域雖外洩的原因不同,有的是遭受駭客攻擊,有的是找不到入侵點,疑似從內部外洩。值得注意的是,漏洞可以修補、系統可以更新,駭客也不一定是入侵到內部,而是在外部資料交換時外洩。但是,業務系統不可能阻止相關人員使用,因此內部外洩事件更加難以管理,相關業務人員仍須自負保密責任。
而部分案例,外洩的資料也不僅止於個資,駭客與勒索軟體取得業務訂單/付款資料、供應商資料,甚至是內部專案的原始碼、資料庫。政府為了防堵日益嚴重的個資外洩事件,預計修法提高罰緩。從過去20萬的行政罰緩,預計修正到最高1,000萬的罰緩,並可按次連罰,以提升企業重視個資保護的意識。
ISO 27001新版納入多種技術控制措施
去年ISO27001及27002推出新版,為了對應各種新興資安挑戰,其內容也大幅擴充各種具體的控制措施。從過去十四個控制領域,重新調整成組織、人員、實體和技術四大控制類別。
以往條文,較少提及應使用的具體工具或系統。然而,此次版本明確將DLP資料防外洩、活動監視、網頁過濾等技術列入,並多處明示宜使用各種工具實施控制措施。務實的指出面對複雜的資安威脅,單靠管理解加配置人力已不足對應,需要導入防護工具方能有效對應。
建構層層保護端點與資料的對策
綜合上述諸多資安威脅的目標,與法律、ISO 27001等合規要求目的,可發現其共通目標皆是資料!
接下來將分成3個層次,從保護檔案傳輸,到使用中的安全,以及靜態檔案的保護,
建構端點與資料保護的縱深防禦對策。
Data in transit資料的傳輸安全
常見的檔案寫出管道,像是USB隨身碟、智慧型手機、記憶卡等各種日常可見,與工作相關卻又潛藏外洩風險的出口。可禁止所有私接裝置,只放行公司配發設備,並針對有儲存功能的裝置作特殊控管。
非公司配發的隨身碟,可預設禁止使用,或是僅允許唯讀,以便帶入檔案。只有公司配發,由IT登錄(註冊)的隨身碟,才允許寫出檔案。雖可寫出,但檔案寫出時一律加密,只有在公司內才能讀取。若要將公司檔案提供給外部人員,須說明原因,經主管審核後才允許寫出明文。並留下使用者申請,以及主管核准記錄。
在寫出時,主動過濾檔案內容,依據檔案內容的關鍵字,分辨其文件類型。像是客戶個資、研發技術文件或程式碼特徵。再依照其文件類型,或是包含重要內容的多寡,決定其機密等級,是一般、限閱或機密。依其機密等級,限制散佈或傳送方式例如: 機密檔案不能email傳送,限閱等級須加密後才能傳送。
所有寫出行為,一律保留記錄。並在寫出記錄上特別加註機密等級,供主管和稽核方便事後查核,掌握特殊活動。
上述機制不只運用於USB隨身碟,也可用於各種網路傳輸行為。例如: 用Line、Skype等即時通訊軟體傳輸檔案,或是用Outlook郵件夾帶附檔,以及透過Gmail、Outlook.com等私人mail將檔案寄出的行為。
另外,印出紙本是最常見,但也最容易脫離公司管控的外洩管道。與USB隨身碟的控管相同,可先界定公司核可的印表機清單,對於未知印表機,或是居家辦公的個人印表機,一律禁止列印。對於核可的印表機,除了保留記錄與列印檔案備份,另可於印出紙本上,加註資安警語的浮水印,並留下可追溯源頭的特殊編碼。特殊編碼可反查列印的人員、電腦、及印表機名稱、檔案名稱等資訊,確保列印當事人能保持警惕,妥善保管印出紙本,不會輕易外流給無關人員。
Data in use資料的使用安全
保護好傳輸安全後,接下來將加強端點本身與使用中的資料安全。在前一階段,非公司配發設備一律禁用,經IT或主管放行後才可使用。在軟體層面也提供相同的零信任白名單控管機制。雖使用者不一定有安裝軟體權限,使用者仍可自行下載免安裝軟體,產生侵權或引入漏洞的風險!
X-FORT可於安裝後,掃描電腦當下所有執行檔的軟體特徵及簽章,並儲存下來。未來未知的執行檔一律禁止執行,須經使用者再次確認或IT核准後,才可執行。而執行工作所需的各種系統軟體,例如ERP系統、CRM系統等。在使用時也可進入唯讀模式,禁止利用剪貼簿、另存新檔、列印等各種操作取出系統內資料。使用期間,畫面也可顯示資安警語及特殊編碼的螢幕浮水印。與列印浮水印相同,可用特殊編碼反查拍照人員、日期與電腦,嚇阻拍照行為。
另外,為了防止惡意程式透過Windows內建程式發動就地取材攻擊。限定用戶端電腦特定資料夾內的檔案,只能被指定的信任程式存取,不讓惡意程式有機會竄改。對於網際網路存取的安全管控,可用軟體白名單,限制只能使用公司核可瀏覽器 (例如: Chrome, Edge)避免有內建VPN翻牆、或暗網功能等,有資安疑慮的瀏覽器。另外,為了防止User下載免安裝軟體,或是誤點有資安疑慮的執行檔連結。可禁止下載特定檔案類型(例如: exe、bat),必要使用的網站,也可記錄其輸入內容,例如Google、Bing 搜尋引擎記錄、微軟Bing Chat AI提問記錄,外部郵件寄送記錄 (如Gmail, Yahoo! Mail)。
以爆紅的Chat系列AI 為例,短時間內已成為知識工作者不可或缺的工具。企業面臨不敢用,又不能不用的窘境。短時間內可以禁止,但一開放就曝險,以三星為例,4月短暫開放即發生半導體設備程式碼被上傳到ChatGPT數據庫的事件,5月初又緊急恢復禁用令。面對Chat系列AI的安全管理,以公開的微軟Bing Chat為例,可以用螢幕浮水印,時刻提醒員工不可洩露公司信息。統計AI提問使用次數,必要時可察看記錄,稽核提問內容,針對特別敏感的研發單位,甚至可針對其網頁啟動螢幕錄影。
Data at rest檔案安全
回到檔案本身,從源頭保護好資料,應將電腦內散落四處的重要檔案納入保護,避免受駭客或勒索竊資影響。
可指定全磁碟或指定目錄 (例如桌面、我的文件),對全公司電腦發動掃描,將指定的重要檔案類型自動加密。加密後,便只能在有安裝X-FORT的電腦才能使用。加密後檔案即使遺失或遭竊取,也不擔心資料外洩,從源頭保護好檔案。另外,對於客戶提供的資料,不管從Email、網頁、或供應商FTP下載,只要檔案一落地就加密保護,保護客戶的研發/生產/營業等重要資訊。
檔案加密後,自動套用所屬人員或部門的文件類別。套用類別後,只有該部門或客戶相關人員,才能開啟檔案。例如: A客戶的文件,只有A客戶的窗口才有權開啟,其他客戶窗口,甚至主管都無權開啟,避免單一人員看到所有客戶資料,權限過大。而內部機密,只有部門主管有權開啟,即便檔案因為人員疏失,誤傳給其他人員或部門,也無法開啟。
上述這些自動化防護對策,可讓合規的推動工作事半功倍。滿足資通安全管理法、營業秘密法、個資法,以及供應商稽核、ISO 27001等資料保護要求,在協助企業保有競爭力同時,也釋放IT寶貴生產力。