網路、駭客、攻擊

就在HACK ETF 掛牌的去年11月份，全球也因為索尼影業遭駭的事件，引起極大的恐慌，加上去年一連串的資安事件，也使得此檔ETF自2014年11月12日掛牌交易以來，一個月當中的漲幅達8.97%，這檔ETF的最大持股 Imperva 過去一個月漲幅達到 22.05%。無疑讓2014年就在網路攻擊的陰影之下，畫下句點同時，也留下了許多的驚訝與恐慌。

索尼被駭事件簿

雖然索尼影業拍攝的這部電影在去年聖誕節前夕已公開上映，不過它卻因網路駭客攻擊事件，引起了全球的關注！

就在這一連串事件的發展之下，演變成各說各話的羅生門，不過能夠從中得到任何教訓嗎？

這不是單一事件！

除了索尼影業外，美國企業去年也是資安事件頻傳，尤其是零售通路業，像全球最大辦公用品零售廠商史泰博(Staple, Inc.)、通路商 Target、JP摩根、iCloud眾多名人照片遭駭之外，也包括了俄羅斯比特幣論壇有四百九十三萬筆 Gmail 帳號及密碼外洩。另外引人注目的公司也包括了達美樂（Domino, DPZ-US）披薩、美國線上、eBay、Adobe、Ubuntu及 Evernote 都在近兩年間傳出大量顧客個人資料外洩的情事。

零售業者是最大的受災產業！根據美國國土安全部發佈資安警報指出，美國零售業者的POS系統是受到Backoff惡意程式入侵，進而竊取消費者的信用卡資料。而且EMC旗下的資安公司RSA 調查報告指出，也發現一個巧合，許多受到Backoff入侵商家的監控攝影機也被駭，可以遠端控制這些攝影機。

Backoff 所採的方式是透過遠端桌面連線協定(Remote Desktop Protocol; RDP)應用程式入侵，再以暴力破解法找出帳號及密碼，之後才開始部署惡意程式，它會搜括記憶體的資料，以及在商家執行刷卡時取得消費者的金融卡資訊，它還可側錄鍵盤，執行C2C通訊，並且植入帶有惡意程式的文件。

資安認證可靠嗎？

我們不禁要問：一般企業不是都有導入資安顧問認證，政府機關也經常性進行稽核，為何還有這一連串的資安事件？就像去年11月遭駭的 Target 來看，他們在九月份才通過國際Payment Card Industry(PCI)組織的認證，究其原因到底為何？

先就PCI 組織來說，這是由威世卡、萬事達卡、美國運通（American Express, AXP-US）、Discover 及 JCB 共同在2006年成立的組織，具有一千八百位獨立全職或兼職的稽核專家。不過這對於眾多商家而言，所分配的時間比例是極少的，或許在一個下午就完成一家公司的稽核，除了時間有限之外，缺乏強制力與責任也是其成效不彰的主因。雖然若違反PCI的規範，像大型零售商會遭受到每月兩萬五千元美金的罰款，不過這仍未能使多數企業盡速採取行動，以避免系統曝露在風險之中。這也意謂此單位的認證標準仍有不足之處。

企業要如何面對？

除了認證流於形式外，一般企業都會忽略像政府單位、資安機構所給予的警告通知，根據 Forrester 的調查，只有21%的企業會將此列為重要的優先事項。

Change(改變心態)

組織對於資安的心態需要改變，大多數企業對於潛在的資安風險都是經常忽略掉的。像國內主管機關都會定期發出資安通報，有許多企業仍是忽略掉的，更何況會積極採取行動來預防。因此要除了改變心態之外，更要確實實施安全措施、企業才能將因應更大的資安挑戰。

Count(盤點)

建立資訊設備的清冊，像電腦、手機、隨身碟、抽取硬碟、網路伺服器、印表機及路由器，並且需要每年定期檢查，找出易受攻擊的弱點。

Configuration(設定)

將企業內部的軟硬體進行分類，並依照外部組織所提供信賴的資訊安全設定的基本準則進行設定，以保護組織內的系統。

Control(控制)

限制及管理那些有管理者權限的人員，以避免他們去更改、省略或重置系統的安全設定。並強制要求使用者定期更換密碼，及要求密碼的複雜度，並控制遠端的企業虛擬網路連線(VPN)，並控管實際資產設備的接觸。

並將存取活動記錄下來，以持續觀察與偵測異常的存取行為，像未授權的存取與錯誤密碼登入的記錄，定期去檢查高權限帳號的記錄，並評估帳號權限是否適當。

Patch(定期更新)

定期更新對於確保系統的信賴度、一致性及可使用度是很重要的。持續檢視系統版本，並系統化進行更新，並加以測試，以找出應用系統的弱點，特別是作業系統及第三方業者所開發的軟體。

Repeat(重複執行)

資安威脅進行的複雜度及數量將會持續發展及擴展，所以本身的準備及反應就顯得十分重要，這是件持續、需要耐心的。也要檢視這重複執行的清單，以確保個別要點的每個階段，都適切的符合要求，

People(人為因素)

越來越多的裝置都已在網際網路上運行，在個人生活與工作的界線也越來越模糊。需要去了解組織內每個人在資安所要扮演的角色，不要假設每個人都瞭解本身的責任，有一定比例的人員並不認為其是負有責任的。人員因素對於資安的保護是很重要的，對於資安措施的推動也是個關鍵因素。

資安的威脅影響所有的企業，不論規模、產業與地理位置，需要企業內部及外部組織的協助，才能夠形成一股可觀與有效的力量。

而在未來，因為新型態服務與網路架構改變，我們又該如何面對新型的網路攻擊或資安威脅呢？