2011年刚过了一半不久,世界各地的企业信息安全事故便已接二连三爆发, 其中不少受害机构更是知名企业, 互联网安全解决方案供应商Check Point 软件技术有限公司指出,此等网络犯罪案件有其共通性,企业应该从中学习预防之道。
企业机密信息外泄为重灾区
下表罗列了今年以来,在世界各地发生的严重信息安全事故:
Check Point北亚洲区地区总监梁国贤表示: "此等攻击已造成数百万客户的记录、个人信息及其它敏感企业组织数据的外泄。就正面观点来说,这些公司已开始采取补救行动,并以更主动的态势应对安全课题,能在发生入侵的第一时间报告,在大部份的情况下会迅速通知其客户及人员发生的实际情况。然而业界应该仔细审视这些不同事件间的共通性,以及其新兴手法模式,以便更有效抗击网络攻击。"
锁定目标攻击
梁国贤指出,上述攻击都经过非常缜密的规划及执行,属于符合进阶持续性威胁(APT)条件的精密攻击,并针对目标公司精心策划,受影响的企业范围之广令人吃惊。攻击者经过高度训练,挑战的快感与实质获利促使他们犯罪。这些攻击拥有军事突袭般的精准度:黑客首先尝试并重制被锁定公司的整体网络,以便在执行方案之前,先在实验室环境中模拟攻击。就HBGary案例而言,显示出犯罪者具有高度的耐心及决心,他们宁愿冒违法的风险也要进行攻击。
社交工程攻击
梁国贤表示,此等攻击的另外一个相似之处,是它们都采用社交工程技巧。网络罪犯先锁定及操纵企业内部的员工,以"破解人心"的方式渗透进公司系统。不幸地是,用户通常是公司安全系统中最脆弱的一环。黑客永远都能找到有漏洞可攻击的使用者:或许是安全意识不足的新进员工,或是过度热心,以致于不小心透露太多信息的秘书。一旦进入公司系统后,黑客就会不动声色地运作。他们会在被侦测到且公司开始进行调查之前,尽可能潜伏并窃取最多的信息。有时甚至可能长达数年。
此外,这些网络罪犯不再是各自独立的业余黑客。他们类似恐怖份子,具有资金、动机及目标,组成精密组织。黑客部署相当多的智慧、时间及资源,精心策划社交工程攻击及收集信息财产。其造成的损害大小,完全取决于攻击者的主观意愿。
黑客的金矿:信息
梁国贤指出,财务信息不是唯一值得窃取的高价值数据。从这些入侵事件中所见,攻击者寻求较多的是一般的客户信息,而少为特定的账单或信用卡数据,这类信息对垃圾邮件寄发者而言非常值得利用。
企业的客户数据库记录,包括通讯方式、姓名及电子邮件等,就等于拥有许多宝贵的信息。此信息可用来制作自定义化的垃圾邮件,加注用户的姓名、详细数据及兴趣后,便显得十分逼真可信。比起一般的垃圾邮件,容易使得使用者开启自定义的垃圾邮件并按下链接,使垃圾邮件寄发者的获利。
亡羊补牢未为晚也
梁国贤表示,公司不应抱持着已善尽本份,因此不会受到攻击的错误观念。锁定目标的攻击日益增加,没有任何公司能完全幸免。企业必须在网络罪犯及其公司网络和资产之间,尽可能建构更多的屏障。
保护应从涵盖网络、端点,以及连接网络等多重安全性装置间部署清晰安全策略开始。企业需要进行多层保护,包括功能强大防火墙及入侵防御系统(IPS)来侦测混合威胁;全面化端点安全解决方案,以保护端点及行动装置安全;预防性的数据外泄解决方案来保护信息资产。安全策略必须配合公司商务目标,并让内部员工充分了解。此外,企业应该重新仔细检视数据资产的取用方式,以重新评估如何做出最妥善的保护。
梁国贤表示,在关闭对预设攻击者的"大门"外,企业也必须努力防备其长期的"后门"-也就是使用者本身。人为错误是技术无法单独解决的安全问题,因为它没有确切的修补方法。这必须依赖公司主动地敦促、训练和教育员工,让他们变成真正的公司信息安全卫士。
梁国贤总结说,Check Point提倡的"3D 安全"方针就是要协助企业应对此等挑战,这个理念的要点是指出安全保护应该是一个三维的立体商业流程,通过整合安全政策、人员以及到位的执行力,为各个层面提供固若金汤的安全防护。凭着3D安全方针,企业能够掌握及实施一个超越技术层次的安全蓝图,确保得到周全的信息安全。
用户评论