最新消息
[iThome Forcepoint CTO專訪] 手機和雲讓企業IT邊界模糊,新資安防禦策略要更看重人
Forcepoint使用者及資料保護技術長Brandon Swafford表示,企業IT環境變的越來越複雜,不論是各種雲端服務、行動裝置甚至是遠端或差旅的行動工作者,都讓傳統單點的資安防禦方式失效,得改用新法
根據國際研究機構顧能(Gartner)所做的研究資料顯示,全球資訊安全產品與服務支出,2017年支出達864億美元,到2018年則增加到930億美元。另外也有資料顯示,一直到2020年,全球的資安支出也將高達1,130億美元。
從企業大手筆的資安投資可以證明,現在的企業組織為了維持企業的持續營運,對於資安威脅已經到了不得不重視,甚至也必須越來越重視的時候。
因此,多數的企業組織也願意持續投資在各種資安產品與服務的採購上,雖然資安投資的金額和比例持續增加,但事實上,許多資料外洩的資安事件,卻依舊層出不窮,沒有因為資安投資的增加反而有所減少。
以近期最嚴重的的資料外洩事件,全美第三大消費者信用報告業者Equifax在2017年9月對外坦承遭到駭客入侵,導致1.46億名消費者個資外洩為例,外洩的資料包括消費者的姓名、生日、社會安全號碼、電話、駕照號碼、電子郵件甚至包括信用卡資料在內。
而協助調查的資安公司指出,這一切資料外洩事件的起因,卻只是因為一個應該早該修補但卻沒有及時修補,漏洞編號為 CVE-2017-5638的Apache網站伺服器的Struts漏洞。
對於Equifax公司而言,外洩的是重要的消費者各種個資,起因卻是因為企業內部的資安團隊成員,沒有及時修補重要的網站漏洞造成的。從這樣的資料外洩事件也引發諸多疑問,那就是,為什麼企業組織對於資安投資持續增加的同時,卻沒有辦法減少這類資料外洩事件的發生頻率呢?
資安公司Forcepoint使用者及資料保護技術長Brandon Swafford表示,因為我們生活在一個網路與裝置界線越來越模糊、難以清楚界定的零邊界(Zero Perimeter)的世界裡面,這類資料外洩的資安事件,比過往更具有破壞性與殺傷力。
因此,企業的資安人員就必須要意識到,關注這些資訊與數據和人員的流向與連結,而不是一直針對此起彼落的各種資安預警或資安事件做出回應。
現實的企業IT環境就是,所有的數據資料都四散到各種類型的雲端服務,不論是微軟Office 365或者是亞馬遜AWS甚至是各種網路儲存空間Dropbox或Box等;或者是人手一機的智慧型手機與平板電腦等,甚至是遠端連網的工作者,或是自帶裝置(BYOD)到企業內部使用的各種行動工作者,都有機會儲存或使用企業的各種資料。
他認為,在這個缺乏明顯邊界的企業環境中,資安防護措施應該如何部署,才能夠避免這些四散的資料不會外洩,則成為現在企業組織在資安防護上的一大挑戰。
企業網路環境越來越複雜,傳統資安防禦方式不適用
企業內,不論是老闆或員工,在總部或是分公司工作,甚至是在差旅的途中,都必須透過網際網路進行各種企業內部資料的交換與傳送。
不過,也有許多企業,也開始將原先在企業內部使用的應用程式和資料,上傳到各種類型的雲端平臺提供服務;不只企業內部要交換資料,還必須跟客戶、夥伴以及各種上下游供應商進行各種的資料交換。
所以,企業開始遇到各式各樣的風險,每一個人與網路連接的節點,都是駭客可以入侵的入口,也都是資料可以外洩的出口。但要確保這些資料不會外洩,就必須要能夠清楚掌握資料在哪裡,「只有看得到資料從何處來、往何處去,才有辦法控制資料的流向。」Brandon Swafford說道。
不只如此,當企業網路環境的邊界變得越來越模糊時,許多企業內部的資安政策也開始與現實環境脫節,政策歸政策、資安防護作法歸作法,兩者就像是兩條平行線一般,互不搭理的同時,也成為企業資安的缺口所在。
此外,像是Equifax在去年發生的資料外洩一例,問題並不是出在Apache網站伺服器的漏洞本身,而是,為什麼應該負責修補漏洞的團隊,也就是「人」,沒有意識到這個漏洞會對企業帶來重大損害呢?
由此可以觀察到,企業內的漏洞修補政策步調,無法跟上企業對於資訊安全保護的需求時,就可能像Equifax一樣,爆發難以預期的資安風險漏洞,進而造成企業的重大損失。
當然,也有有其他一些非常看重資安,並且非常按部就班的企業,除了會一步一腳印、打造良好的資安環境所必備的各種基礎設施之外,也會蒐集各式各樣的設備資訊做分析。
不過,Brandon Swafford表示,因為所有的企業資訊無所不在,從公有雲到私有雲,從各種隨身的智慧型裝置到可攜式裝置,資安團隊必須要收集來自各種IT設備的登錄檔(Log)資訊,甚至是企業內的人資系統、財會系統、以及各種分析系統的使用記錄等,作為資安分析的標的,藉此,進一步找出過去幾個月,甚至是過去幾年,可能發生的各種資安事件所包含的人、事、時、地、物等多種資訊。
為了要找出這些資安風險的真正訊號,「企業舊有的資安作法已經行不通了,」Brandon Swafford明白說道。
他進一步指出,以往透過單點部署資安設備的方式,已經無法解決現代企業所面臨的資安風險,必須要進一步從點擴大到線以及面的層次,才能夠真正分析出資安風險的訊號,並且降低不必要雜訊而淹沒重要的警告,以免影響企業決策。
企業內部的資訊流要做可視化,IT人員才有辦法管理;再搭配使用者行為進行風險等級分級分類,就可以有效控管企業內部的資安風險。
學習從「人」的角度,思考資安風險所在
從1990年~2010年間,資安業者關注的重點在於,監控企業內部各種可疑的網路流量。這時候,只要可以掌握企業流量的變化,就可以掌握企業內網路風險的所在。
不過,從2010年開始後,駭客出現各種更詭譎多變、更難以察覺的企業網路入侵手法,從各種對外管道入口,滲透並入侵企業,發動針對式攻擊到APT(進階持續性威脅)攻擊,加上駭客在企業內部的潛伏期可以從一星期到十年不等,企業資安長要思考的重點就是,應該要讓駭客「進得來卻出不去」的情況下,便得要做到,有能力阻止駭客在企業內部的橫向移動,也就是企業的IT人員必須有能力在企業內部,設置各種有效的控制點,並且阻絕駭客從入侵的單點目標,可以透過各種可能的方式,進一步緩步地移動到,駭客鎖定標的的使用者電腦中,可以偷取相關的機敏資料,並且將資料往外發送到駭客掌控的控制與命令伺服器。
但現在,隨著企業IT環境逐漸採用各式各樣的雲端服務,加上企業內部的資料交換與訊息溝通方式,也都從早期只有內部員工,到現在逐步擴展到外部客戶、供應商,甚至是遠端辦公與差旅中的行動辦公的員工在內,都讓駭客可以採用更複合式的網路攻擊手法,達到竊取資料的最終目的。
Brandon Swafford表示,這樣的方式,也讓企業原先的IT管理方式,顯得落伍且不適用,企業資安長必須更有重新思考一套,如何做到更有彈性去管理並面對,包括雲端服務和遠端員工等IT系統與員工,所交織而成的複雜企業網路環境的管理方式。
「要管理這些資料,就必須要能夠掌握資訊流,最終必須要回歸到有一套妥善管理人的節奏的方式。」Brandon Swafford指出,現代化的資安風險管理方式,其實就是一種以人為中心(Human-Centric)的資安策略。
他也進一步解釋,掌握資訊流並掌握人的行為,就是以人為中心的資安管理策略。
若以掌握資訊流來說,確保重要的機敏資料不會外洩到企業或組織外部,必須要先做到企業資料盤點,然後管理並控制這些資料的流向,也要做到即時(Real-Time)的防護,以確保資料數據不會受到任何損害。
再者,這些資料在對內甚至對外流動時,一定要確認,必須是經過企業內部合法授權的使用者才能夠存取,確保這些使用者,可以在他們所使用的任何裝置上,有效率且安全的處理企業相關資料,並對外阻絕相關的資安風險。
最後,也必須要可以分析使用者的行為,但這必須要從資料與資產對企業營運帶來的價值作為分析的基礎,並且深入觀察使用者行為和雲端服務的使用狀況,作為評估與控制風險的參考。
「可以將使用者依照風險程度分級,」他指出,回歸到「以人為中心」的面向,更在意他是誰?他在做什麼?可以讓我們更好辨識,在他們存取系統時,知道可以允許或拒絕誰存取,這樣的限制也會改變他們存取系統和資料的方式。
例如,在下班離峰時間,即將離職、跳槽的員工,頻繁存取機敏資料到網路雲端硬碟或隨身碟的異常行為,因為這樣的作為將可能對企業營運帶來重大的危害,就可以將這樣的人分級列為高危險群。
透過奠基在統計學、異常分析、稀少性分析的分析模型上,加上深度學習的技術,找出對員工最適合的風險控管程度,就可以進行相關的資安預測,在資安政策的設定上,就禁止這些高風險員工存取相關的機敏資料,一旦有這樣的行為,系統就會立即阻擋並進行通報。
Brandon Swafford認為,如果這些重要的機敏資料,就如同皇冠上的珠寶一樣重要的話,企業資安長就要先定義出商業流程,並分解每一個流程,確認到底有誰可以看到這些重要的機敏資料,「只有當這些資料流向可以做到可視化,企業IT人員才有辦法控管他們,也可以降低風險。」他說。
全球Forcepoint調查:近7成企業無法掌控資訊流與人的行為
資安公司Forcepoint先前曾經針對全球1,252名資安專家進行一份資安調查,報告內容指出,隨著有越來越多企業開始採用各種類型的雲端服務,以及各種行動裝置成為企業內部IT環境不可切割的一部分,這也使得企業內部追蹤各種資訊流向,變得比以往更為困難。
其中,只有36%的受訪者對於目前所使用的資安工具感到滿意或非常滿意;另外,也有46%的受訪資安專家表示,非常在意行動裝置上個人與商業應用程式的安全性。
但是,也有58%的專家表示憂心,因為企業對於員工在雲端服務和行動裝置上,究竟如何使用企業內重要關鍵資訊,只具備中等或輕微的可視性。從上述這樣的數據顯示,企業IT部門並無法有效掌控資訊流的流向。
再者,該份調查中也看到,資安專家並不滿意目前所使用的資安工具,尤其是,雖然有80%的專家認為,必須要了解使用者與資料彼此的交互作用與流向,且有78%的專家認為,理解使用者行為背後的意圖非常重要。
但從這份數據的調查中發現,只有28%的企業指出,他們可以有效掌握資訊流和人的行為。
這意味著,有將近7成的企業,並無法掌控企業內部的資訊流,也無法有效控管使用者的行為。
CTO小檔案
Brandon Swafford--Forcepoint使用者及資料保護技術長
學經歷:沃西本恩大學傳播學院法律組畢業,先後任職於鑑識公司、法律事務所、諮詢顧問公司和政府委外的資安公司等,2011年於博思艾倫諮詢管理顧問公司擔任資深資安工程師,2013年7月於對沖基金公司橋水聯合基金擔任首席資安工程師,於2016年12月擔任Forcepoint使用者及資料保護技術長一職迄今
iThome專訪原文連結:https://www.ithome.com.tw/people/123162