企業(yè)網(wǎng)D1Net摘錄信息要點(diǎn)：

1.企業(yè)IT應(yīng)用正逐漸朝著云端化/SaaS應(yīng)用、移動化/信息系統(tǒng)App化以及消費(fèi)化/BYOD等幾個方向發(fā)展。

2.移動設(shè)備普及帶來設(shè)備管理與安全方面的隱憂，進(jìn)階持續(xù)性滲透攻擊(Advanced Persistent Threat，APT)成為IT管理者面臨的挑戰(zhàn)。

3.一個讓IT管理者不得不面對的課題是BYOD，今年已有許多企業(yè)開始陸續(xù)進(jìn)入評估，甚至編列預(yù)算準(zhǔn)備建置管理機(jī)制。

站在歲末年終之際，回頭看今年企業(yè)IT應(yīng)用趨勢，不難發(fā)現(xiàn)正逐漸朝向云端化/SaaS應(yīng)用、移動化/信息系統(tǒng)App化以及消費(fèi)化/BYOD等幾個方向發(fā)展。

只是就信息安全層面來看，IT管理者所面臨的最大挑戰(zhàn)，除了移動設(shè)備普及帶來設(shè)備管理與安全方面的隱憂外，主要威脅幾乎矛頭皆指向進(jìn)階持續(xù)性滲透攻擊(Advanced Persistent Threat，APT)。

針對這類目標(biāo)式攻擊的問題，業(yè)內(nèi)人士洪偉淦指出，根據(jù)一年來于客戶端實(shí)地調(diào)查發(fā)現(xiàn)，遭受攻擊的情況確實(shí)相當(dāng)嚴(yán)重，只是受駭單位通常根本不敢聲張，一旦確定為攻擊事件則立即被列入最高機(jī)密處理。以往這類攻擊事件并不會被重視，甚至去年只要談到APT，多數(shù)IT主管都認(rèn)為那是屬于政治目的之攻擊，只有政府單位才會遇到。自從今年逐漸意識到現(xiàn)代化攻擊行為已趨向低調(diào)隱匿，企業(yè)才開始升起警覺性，思索看似風(fēng)平浪靜的IT基礎(chǔ)架構(gòu)下，究竟有多少未被發(fā)現(xiàn)的攻擊行為。

黑客組織化獲利模式

“今年陸續(xù)接獲客戶主動要求檢測，也發(fā)現(xiàn)的確就是遭受APT攻擊，且情況都蠻嚴(yán)重，幾乎可說是遍地開花，不論行業(yè)別都全面遭遇此類事件。”業(yè)內(nèi)人士洪偉淦強(qiáng)調(diào)。盡管臺灣近兩年高科技制造受大環(huán)境景氣影響始終低迷，卻仍是重要的攻擊標(biāo)的。去年還只是預(yù)測企業(yè)內(nèi)部握有專利、營業(yè)秘密等核心競爭力資料，勢必會成為覬覦的目標(biāo)，沒想到今年就出現(xiàn)許多高科技制造業(yè)接連遭受攻擊，而發(fā)現(xiàn)時，資料往往早就已經(jīng)被盜走。

業(yè)內(nèi)人士張嘉淵亦觀察到，過去一年來企業(yè)端已逐漸意識到社交工程、釣魚網(wǎng)站、詐騙等攻擊的破壞力，而不再只是單純當(dāng)成新聞事件看待。”數(shù)字戰(zhàn)爭的利益導(dǎo)向，誘使黑客日漸猖獗。以前犯罪手法算是搶公司保險庫，現(xiàn)在則是數(shù)據(jù)庫、檔案庫，且不容易被發(fā)現(xiàn)。得手后再把數(shù)字資產(chǎn)到黑市交易變現(xiàn)，可能還遠(yuǎn)遠(yuǎn)超過以往犯罪搶奪的有形資產(chǎn)。”

像是近期出現(xiàn)的CryptoLocker勒索軟件，一旦順利入侵計算機(jī)系統(tǒng)后，隨即加密系統(tǒng)中所有檔案，若不依照指示于期限內(nèi)支付三百美元(約臺幣九千元)贖金，檔案將永遠(yuǎn)無法恢復(fù)。且支付方式是透過比特幣(Bitcoin)等在線交易，利用網(wǎng)絡(luò)虛擬支付難以被追蹤的特性，來進(jìn)行犯罪行為。由此可發(fā)現(xiàn)，現(xiàn)代化黑客攻擊已經(jīng)不只以APT手法竊取數(shù)據(jù)，地下犯罪組織經(jīng)濟(jì)規(guī)模已成形，最終目的即在于藉此獲利。

重新檢視新型態(tài)攻擊

現(xiàn)代化黑客攻擊具有高度的隱匿特性，想方設(shè)法規(guī)避各式防御偵測，即使企業(yè)內(nèi)部已建置多層式防護(hù)，仍不敵黑客技術(shù)。”根據(jù)FireEye全球調(diào)查報告指出，95%的資安事件，皆是檢調(diào)單位發(fā)現(xiàn)，當(dāng)然臺灣也不例外，這是很可怕的事實(shí)。”FireEye臺灣區(qū)總經(jīng)理馬勝彰表示，就以今年發(fā)生在南韓的320黑客攻擊事件來看，受影響的銀行、電視臺等皆屬大型企業(yè)，不乏最高端的現(xiàn)代化安全防御機(jī)制，仍舊被攻擊得逞，其實(shí)為政府與企業(yè)帶來不小震撼。根據(jù)FireEye對此事件持續(xù)研究與觀察后續(xù)發(fā)展，發(fā)現(xiàn)這類大規(guī)模攻擊行為，皆是計劃性的預(yù)謀犯案。

“追蹤這起南韓320事件后，除了深入挖掘出更多先進(jìn)攻擊手法，更重要的是，從該起事件中學(xué)習(xí)到，既然資安事件勢必會發(fā)生，不論是政府、民間企業(yè)，必須重新省思，依實(shí)際的要求而言：需要多快時間可發(fā)現(xiàn)遭受攻擊、多快反應(yīng)可把損害降到最低、多快可修復(fù)，以此三大要點(diǎn)來檢視資安方面的投資。”馬勝彰強(qiáng)調(diào)。

面對信息科技進(jìn)步的趨勢，IT部門需吸收新知建立基本概念，而黑客攻擊行為的變化可說是當(dāng)中不可或缺的一環(huán)。如今多數(shù)IT主管都理解資安投資永無終止，只是思維上，仍舊局限在傳統(tǒng)資安工具。馬勝彰觀察，主要是來自心理因素影響，若IT主管承認(rèn)現(xiàn)有的投資不足以因應(yīng)新型態(tài)攻擊行為，需要導(dǎo)入新興防護(hù)機(jī)制，例如FireEye來協(xié)助，則可能會遭受高層管理的質(zhì)疑，既有資安建置已投入相當(dāng)多資源，若坦言仍不足夠，恐會被認(rèn)為是管理能力的問題。

“有時一個對的解決方案，要在企業(yè)內(nèi)部推廣時，通常會遇到政治因素問題。所以必須透過許多渠道跟更高層主管溝通，說明這類新型態(tài)攻擊事件之所以無法被有效控制，并非IT人員疏于防范或技術(shù)能力問題，而是黑客攻擊技術(shù)精進(jìn)之下，僅以現(xiàn)有的建置來抵制，有防御上的極限。”馬勝彰強(qiáng)調(diào)，像是FireEye采新興技術(shù)提供的解決方案，主要是為了補(bǔ)強(qiáng)現(xiàn)有的資安投資。盡管現(xiàn)在針對已知型惡意軟件的特征碼辨識技術(shù)，已經(jīng)能防范大部分既有資安威脅，但面對APT這類未知型攻擊行為，必須采有別于以往的技術(shù)來辨識與抵制。

未知型惡意軟件的攻擊行為，通常有些特定跡象可循。Fortinet技術(shù)總監(jiān)劉乙舉例，惡意軟件滲入后通常會向所謂中繼站(Command and Control，C&C)聯(lián)系，但由于中繼站必須為動態(tài)變換才能躲避偵測，于是惡意軟件透過算法或程序中內(nèi)建的名單一一訪查時，經(jīng)常會出現(xiàn)許多聯(lián)機(jī)失敗的記錄，而以往多功能進(jìn)階防火墻(Unified Threat Management，UTM)并沒有內(nèi)建記錄這類行為模式，如今則可透過報表或警示來發(fā)現(xiàn)。欲察覺出這類可疑行為，IT人員必須具備這方面的概念，并搭配相關(guān)工具來協(xié)助。

移動安全逐步發(fā)酵

另一個讓IT管理者不得不面對的則是BYOD課題，洪偉淦觀察，今年已有許多企業(yè)開始陸續(xù)進(jìn)入評估，甚至編列預(yù)算準(zhǔn)備建置管理機(jī)制。其實(shí)IT管理者并非不了解移動化設(shè)備普及后對管理與安全性帶來的沖擊，只是在應(yīng)用趨勢促使下，如今已不得不管，因?yàn)閿?shù)量持續(xù)增加，再加上開始出現(xiàn)應(yīng)用系統(tǒng)App化，以趨勢科技內(nèi)部信息系統(tǒng)為例，像是請假、簽核、視頻會議等日常工作系統(tǒng)，皆可至企業(yè)內(nèi)的App Store下載安裝，在移動設(shè)備上即可處理公務(wù)。然而畢竟員工私人設(shè)備，公司要控管有難度，且不管便罷，納入管理后便相對會產(chǎn)生責(zé)任，而IT人員又必須額外掌握眾家系統(tǒng)平臺相關(guān)技術(shù)。

“從所在企業(yè)內(nèi)部信息系統(tǒng)的進(jìn)化來看，移動化應(yīng)用會逐步擴(kuò)及到所有企業(yè)，當(dāng)許多企業(yè)已具備時，IT部門自然產(chǎn)生壓力，這已是不可逆的趨勢。”洪偉淦表示?，F(xiàn)階段較多討論的問題即在于如何管控，盡管市面上已陸續(xù)出現(xiàn)基于不同面向的控管方案，不論是從移動設(shè)備本身、App的應(yīng)用、檔案內(nèi)容的管控，都有其不同限制，因此現(xiàn)階段多數(shù)企業(yè)還在持續(xù)評估較合適的解決方案。

張嘉淵亦發(fā)現(xiàn)到，本土的企業(yè)主面對員工人手一支智能型手機(jī)，大多認(rèn)為可方便員工工作就好，還可藉此節(jié)省公司配置成本。因此現(xiàn)階段多數(shù)人對移動設(shè)備最在意的部分，主要是擔(dān)心設(shè)備里存放公司與私密數(shù)據(jù)，萬一設(shè)備遺失造成數(shù)據(jù)外流，于是遠(yuǎn)程清除機(jī)制可說是目前控管方案中較受關(guān)注的功能之一。

當(dāng)然，BYOD議題下絕非只包括遠(yuǎn)程清除需求，市場上亦有MDM(Mobile Device Management)解決方案提供較完整的控管機(jī)制。只是各地區(qū)企業(yè)文化不同，造就不同應(yīng)用情境，MDM也非一體適用。張嘉淵以日本為例，多數(shù)日本企業(yè)認(rèn)為公歸公、私歸私，工作上若需要移動設(shè)備，該直接由公司配發(fā)，要連入內(nèi)部信息系統(tǒng)時，則以App啟動遠(yuǎn)程的虛擬化桌面來執(zhí)行，如此一來，即使設(shè)備不慎遺失也不致為公司帶來資料外泄問題。

此外，張嘉淵提醒，不論IT應(yīng)用趨勢如何變化，只要企業(yè)營運(yùn)業(yè)務(wù)握有個人資料，就必須因應(yīng)個資法規(guī)范。即使個資法上路后觀察目前多數(shù)企業(yè)尚未有所作為，但是不代表沒有需求，解決方案必須要先準(zhǔn)備好。至于究竟要多久時間需求才會浮現(xiàn)，若以日本推動個資法案經(jīng)驗(yàn)來看，少說要五年時間才會真正發(fā)酵，相信不會比嚴(yán)謹(jǐn)?shù)娜毡灸_步更快，還有一段路要走。

資安威脅將持續(xù)擴(kuò)大

展望2014年必須留意的資安威脅，馬勝彰認(rèn)為，APT的攻擊事件勢必會持續(xù)發(fā)生，今年多數(shù)人只是關(guān)注議題，在2014年則會逐步實(shí)踐，因?yàn)楣舴讲粫g斷，防守方也必須有所作為。”當(dāng)然考慮到大環(huán)境經(jīng)濟(jì)狀況，資安設(shè)備通常在企業(yè)端會被認(rèn)為是額外的投資，許多企業(yè)主都了解資安投資再多也無法達(dá)到百分之百，但是切勿認(rèn)為反正做了也不會有立竿見影的效果，而放棄APT的防御。”

另一種較為積極的想法可能會認(rèn)為，面對新型態(tài)攻擊行為要有基本防護(hù)機(jī)制。對此馬勝彰則建議，為了預(yù)防內(nèi)部發(fā)生感染后把重要數(shù)據(jù)打包送出，對外聯(lián)機(jī)管道至少要具備察覺與阻斷能力，至于黑客滲透進(jìn)入的管道，還必須透過強(qiáng)化內(nèi)部人員的資安意識來協(xié)助，對內(nèi)倡導(dǎo)當(dāng)收到郵件含有附加檔案時，不僅執(zhí)行檔勿任意開啟，須留意是否為不明發(fā)件人或奇怪的寄件地址，即使主旨內(nèi)容看似正常，也切勿輕易開啟。

除了APT攻擊外，劉乙認(rèn)為在移動設(shè)備的普及下，甚至智能型手機(jī)的出貨量已超越桌面計算機(jī)，因此以往在線消費(fèi)行為將逐漸轉(zhuǎn)向手機(jī)，而提供電子商務(wù)服務(wù)的在線系統(tǒng)，會成為黑客有利可圖的目標(biāo)之一。張嘉淵亦認(rèn)為，移動設(shè)備普及帶來的問題在2014年將會持續(xù)擴(kuò)大，除了新平臺技術(shù)、新應(yīng)用勢必產(chǎn)生新缺口外，現(xiàn)代化攻擊行為精密程度已超越預(yù)期，甚至已到達(dá)企業(yè)化經(jīng)營，因此隨著移動付費(fèi)、消費(fèi)等交易動作越來越普遍，而設(shè)備防御措施卻相對薄弱之下，勢必會成為黑客覬覦的跳板或標(biāo)的。

巨量資料助分析攻擊

面對層出不窮的資安新威脅，洪偉淦提醒，企業(yè)在評估協(xié)助防御的資安機(jī)制時，必須要留意考慮是否具”跨平臺及跨基礎(chǔ)架構(gòu)”的能力。也就是防護(hù)機(jī)制必須要能運(yùn)行在Android、iOS、Windows等主流系統(tǒng)平臺，同時，不論是實(shí)體主機(jī)、虛擬主機(jī)、公有云、私有云，控管平臺必須都可支持。

此外，隨著黑客運(yùn)用的工具更廣泛，Log分析將越顯重要。”當(dāng)新的攻擊模式被證實(shí)時，皆是經(jīng)過分析之后的結(jié)果，往后即可依據(jù)此結(jié)果在Big Data平臺制定數(shù)據(jù)搜集的規(guī)則，一旦資安專家從數(shù)據(jù)中發(fā)現(xiàn)此攻擊模式下還有其他不同的應(yīng)用，即可再增添規(guī)則持續(xù)搜集，這是一個持續(xù)不斷的循環(huán)，且須不斷地強(qiáng)化。”洪偉淦說明。

過去資安防護(hù)工具都是仰賴用戶回饋來取得數(shù)據(jù)，現(xiàn)在皆得朝向主動搜集更多信息來分析，因此下一階段的資安領(lǐng)域會越來越仰賴Big Data技術(shù)來協(xié)助。洪偉淦強(qiáng)調(diào)，由于黑客攻擊行為的在地化程度很高，例如攻擊政府、高科技制造業(yè)、中小企業(yè)，這三種產(chǎn)業(yè)的方式完全不同，即使是在其他國家已證實(shí)可成功抵擋黑客攻擊的模式，復(fù)制過來也未必能發(fā)揮作用。因此必須要由在地化搜集攻擊手法來輔助分析，才能得知如何部署防御機(jī)制，以抵擋不斷精進(jìn)的攻擊模式。