Published on 5 December 2019
根據美國網絡安全公司Cybersecurity Ventures最近的分析結果,全球每年因網絡威脅、數據洩漏而產生的成本,及至2021年預計將飆升至 6萬億美元,網絡安全所構成的財務影響實在不容小覷。網絡攻擊只要成功一次,即可使公司蒙受巨大損失。據了解,於2018年,萬豪酒店發現資料庫被黑客入侵長達四年之久,涉及500萬客戶資料外洩,最終更因違反歐盟的通用數據保障條例(GDPR)而遭罰款近1億英鎊。無獨有偶,華住酒店集團同年受到網絡攻擊導致數據外洩,約 5 億項顧客的個人資料及入住紀錄在網上被公開兜售,最後中國政府高度介入調查。網絡攻擊日益猖獗,造成的損失愈見驚人,時刻考驗企業所建立的安全管治系統是否妥善。本文將透過事故分析,探討企業應如何使用信息安全管理防範網絡威脅。
環顧現時較普及的網絡標準,不論是美國的國家標準技術研究所(NIST) 所發佈的網絡安全框架 (Cybersecurity Framework),還是ISO/IEC 27001,不少專家先後提出單憑預防式管控實不足以應付網絡威脅。筆者曾跟一位在國內金融機構任職的資訊安全人員傾談,他對如何設計多重防火牆、安全設施充滿信心,但被問到如何準確偵測未知的網絡攻擊時,卻顯出一臉無奈的神情。誠然,檢測未發現的網絡攻擊,許多中小企均大感苦惱。首先,企業需增撥資源檢測網絡攻擊,即使撇開這一點,單單討論應投放更多資源於防範管制還是檢測管制上,已是一個爭論不休的議題。我們或可藉著以下個案, 嘗試找出一些啟示。
Equifax是三大信貸評分及信貸報告機構之一,業務包括收集全球8億多名消費者和8,800萬多家企業的信息。2017年9月,Equifax宣布發生數據外洩事故,涉及1.47億份個人敏感資料。根據美國政府問責署(GAO) 的報告,黑客利用系統一個漏洞,入侵了該公司消費者投訴系統。該漏洞原應已被堵塞,但由於Equifax內部流程的缺失而未得到完全修復。另外,黑客還發現,信貸報告系統如此重要,竟然與投訴系統歸屬同一網絡,而相關密碼沒有任何加密而儲存於網絡上。最後,黑客成功奪取重要伺服器的管理權,截取了資料後才被發現。
在這宗事故中,我們看到 Equifax在防範管制上出現很多問題,包括帳戶密碼管理、漏洞管理等範疇。其實,假如公司擁有全面的信息安全管理系統 (Information Security Management System),前述兩個範疇本可得到恰當處理。例如: 企業應可所有IT資產進行慣常庫存管理,而自動漏洞掃描工具應每週甚至更頻繁掃描網絡上的所有系統,以識別不同系統上所有潛在漏洞。此外,系統應配備自動化更新工具,確保最新安全補丁得以成功更新。
此外, Equifax事件原可有其他轉機。舉例,假使公司設有基本的檢測管制,檢測不尋常的大量網絡資源使用,那麼系統就能察覺資料被盜取時所產生的大量頻寬。系統還應可檢測不尋常的網絡訪問,每當較低設防的伺服器訪問信貸報告系統時,系統須能即時預警。即使網絡攻擊複雜多變,甚至出現最新的零日攻擊漏洞(Zero--day Attack),相信我們仍可找到端倪,及時制止攻擊。
其實,大多數金融機構或公司均設有多重網絡安全管制,但由於沒有信息安全管理系統,管制往往會出現混亂和脫節情況,甚至流於局部管理,有欠周全。近年雲端技術發展迅速,很多企業願意採用軟件即服務(Software-as-a-Service) 方案,交由第三方以一站式管理伺服器、網絡及系統,大勢所趨,企業今後務必更加留意第三方的網絡安全成效,信息安全管理系統健全與否將更顯重要。
此文章刊登於2019年11月19日<<信報>>及2019年12月號<<信報財經月刊>>。
訂閱以接收立信德豪的最新資訊
Please fill out the following form to access the download.