網路安全的「M型」現象

| | | | | | 留下回應

    

企業面臨的資訊安全威脅來源已經從過去外部攻擊為主，轉向來自內部自己人的入侵與非法存取，CA技術顧問林宏嘉解釋，「那些仍停留在過去外部攻擊防範模式的企業，就會像M型社會中被迫向下流動的中產階級。」

所謂M型社會，是日本經濟學家大前研一研究自1990年代以降日本社會經濟歸納的結果。根據他的說法，隨著社會發展失衡，富者愈富，而許多中產階段漸漸淪為中下階段。社會經濟結構因中產階級的減少而從倒U型轉變為M型（《M型社會》一書中文版由商周出版社出版）。

林宏嘉指出，資安的「M型現象」源自網路安全後威脅管理時代下，攻擊者與防禦者此消彼長的結果。「企業擁有強大防禦技術下，攻擊事件就會減少，反之，一旦防禦工事減少，就是攻擊得逞的時候，」他解釋。

他引用2006年「CSI/FBI 電腦犯罪與安全調查」說明，傳統一般性攻擊手法成功率大幅降低。以病毒而言，在2001年達到高峰(約90%)，之後逐年下降，到2006年已降至不到70%。此外，DoS攻擊也從2000年的最高點(70%)降到今年的不到40%。這顯示防毒、入侵偵測(IDS)、防火牆等技術已逐漸發生功能，導致已知安全攻擊成功的機會下降，他說。

然而，這可能並非指災難的終結，而是另一個開始；「攻擊持續襲來的情況下，已知攻擊的減少意謂著未知攻擊的增加，」而這未知攻擊來源，可能就是企業的自家員工，安全專家表示。

不幸的是，大部份企業目前仍延續過去的典範，將心力與IT預算用在建立嚴密的周邊安全，阻擋外部攻擊上，他說。

這也與MIC稍早前公佈一份針對國內企業的資安投資研究相符；根據該報告，如何防堵壞人—防禦駭客與周邊安全—仍然是資安主戰場。以產品類別方面，相較於防火牆、防毒等成熟產品，2004-2009年內容安全（16.9%）、入侵防禦（IDS/IDP，10.5%）與身分辨識與存取管理（17.9%）等產品成長速度最快。

報告指出，國內已有企業開始擔心來自內部員工的攻擊，不過仍屬少數。MIC分析師王義智指出，對內部員工不當存取網路資源--包括有意洩露公司機密以及不慎連上網釣網站—感到困擾的企業有9.5%，超過外部駭客的入侵滲透（6.8%），不過遠低於擔心病毒的比例（50.8%）其中更有42.5%的企業回答「不清楚」，表示不清楚自己公司網路上的資安狀況如何，他說。

另一方面，從安全IT投資來看，企業似乎趨向保守。2005年大型企業平均資安支出為新台幣37.3萬元，其中超過八成大型企業資安支出低於新台幣50萬元，報告指出。

歡迎來到新世界

後威脅管理時代一項特徵是「駭客」定義的轉變，林宏嘉指出，內部員工利用合法權限、透過合法管道做非法的事，成為企業最可怕的安全威脅。例如今年國內企業發現有員工利用管理者權限將包含重要資訊會議記錄透過通道程式(Tunneling)傳出去，「過程皆為合法、加上無法監管到通道程式的通訊，企業主完全無從得知，」他說，

企業內帳號缺乏有效管理、離職員工遺留下的「幽靈帳號」，以及資安政策執行的鬆散，都是導致企業資源在「合法情況下」遭不正當存取，以致智慧財產、客戶資料外洩的原因，林宏嘉指出。

令事情更複雜的是，不肖員工可以在網路上可輕易找到許多程式。除了通道程式以外，Web mail、近來知名的隱形瀏覽器「Torpak」或是不知名的P2P或IM程式。「工具俯拾皆是，」他說。

他表示，在CA今年處理的數十宗國內員工洩密案件中，企業主在資安人員介入調查前皆毫不知情。

新的威脅管理時代下，攻擊行為多變難測，如何防禦乃成為企業資安人員的挑戰。林宏嘉建議企業擴大網路安全防禦的縱深，也就是多層次的防禦系統；除了購買入侵偵測、防毒、防火牆等對外防禦，也應透過內部存取控制、定期更新系統及應用軟體、制訂嚴格的角色為基礎（role-based）的安全政策、甚至流量紀錄的追蹤，以便攔阻隱藏在表面下的攻擊行為。

「和任何事情一樣，資安也是如逆水行舟，不行則退，」他說。「你才能在資安防禦與攻擊者間無止盡的競賽—或迴圈(loop)—中超前一步。」