如果企业自满于网络安全的现状而不持续投资,可能在攻击行为与模式的转变中,成为与信息安全战争中陷落的一群,安全专家说。
企业面临的信息安全威胁来源已经从过去外部攻击为主,转向来自内部自己人的入侵与非法访问,CA台湾区技术顾问林宏嘉解释,“那些仍停留在过去外部攻击防范模式的企业,就会像M型社会中被迫向下流动的中产阶级。”
所谓M型社会,是日本经济学家大前研一研究自1990年代以来日本社会经济归纳的结果。根据他的说法,随着社会发展失衡,富者愈富,而许多中产阶级渐渐沦为中下阶段。社会经济结构因中产阶级的减少而从倒U型转变为M型。
林宏嘉指出,安全的“M型现象”源自网络安全后威胁管理时代下,攻击者与防御者此消彼长的结果。“企业拥有强大防御技术下,攻击事件就会减少,反之,一旦防御工事减少,就是攻击得逞的时候,”他解释。
他引用2006年“CSI/FBI计算机犯罪与安全调查”说明,传统一般性攻击手法成功率大幅降低。以病毒而言,在2001年达到高峰(约90%),之后逐年下降,到2006年已降至不到70%。
此外,DoS攻击也从2000年的最高点(70%)降到今年的不到40%。这显示防毒、入侵侦测(IDS)、防火墙等技术已逐渐发生功能,导致已知安全攻击成功的机会下降,他说。
然而,这可能并非指灾难的终结,而是另一个开始;“攻击持续袭来的情况下,已知攻击的减少意谓着未知攻击的增加,”而这未知攻击来源,可能就是企业的自家员工,安全专家表示。
不幸的是,大部份企业目前仍延续过去的典范,将心力与IT预算用在建立严密的周边安全,阻挡外部攻击上,他说。
这也与MIC稍早前公布一份针对台湾地区企业的安全投资研究相符;根据该报告,如何防堵坏人—防御黑客与周边安全—仍然是安全主战场。以产品类别方面,相较于防火墙、防毒等成熟产品,2004-2009年内容安全(16.9%)、入侵防御(IDS/IDP,10.5%)与身份识别与访问管理(17.9%)等产品增长速度最快。
报告指出,台湾地区已有企业开始担心来自内部员工的攻击,不过仍属少数。MIC分析师王义智指出,对内部员工不当访问网络资源--包括有意泄露公司机密以及不慎连上网钓网站—感到困扰的企业有9.5%,超过外部黑客的入侵渗透(6.8%),不过远低于担心病毒的比例(50.8%)其中更有42.5%的企业回答“不清楚”,表示不清楚自己公司网络上的安全状况如何,他说。
另一方面,从安全IT投资来看,企业似乎趋向保守。2005年大型企业平均安全支出为新台币37.3万元,其中超过八成大型企业安全支出低于新台币50万元,报告指出。
后威胁管理时代一项特征是“黑客”定义的转变,林宏嘉指出,内部员工利用合法权限、通过合法渠道做非法的事,成为企业最可怕的安全威胁。
企业内部账号缺乏有效管理、离职员工遗留下的“幽灵账号”,以及安全政策执行的松散,都是导致企业资源在“合法情况下”遭不正当存取,以致智能财产、客户资料外泄的原因,林宏嘉指出。
令事情更复杂的是,不肖员工可以在网络上轻易找到许多程序。除了信道程序以外,Webmail、近来知名的隐形浏览器“Torpak”或是不知名的P2P或IM程序。“工具俯拾皆是,”他说。
他表示,在CA今年处理的数十宗台湾地区员工泄密案件中,企业主在安全人员介入调查前皆毫不知情。
新的威胁管理时代下,攻击行为多变难测,如何防御乃成为企业安全人员的挑战。林宏嘉建议企业扩大网络安全防御的纵深,也就是多层次的防御系统;除了购买入侵侦测、防毒、防火墙等对外防御,也应通过内部访问控制、定期更新系统及应用软件、制订严格的角色为基础(role-based)的安全政策、甚至流量纪录的追踪,以便拦阻隐藏在表面下的攻击行为。
“和任何事情一样,安全也是如逆水行舟,不行则退,”他说。“你才能在安全防御与攻击者间无止尽的竞赛—或循环(loop)—中超前一步。”
