領先駭客的第一步 掌握威脅情資

張 晉瑞 資誠智能風險管理諮詢公司董事長, PwC Taiwan 2018-11-12

隨著數位轉型持續深化,企業對科技的依賴與日俱增,當企業將重要資產交由資訊系統管理時,雖為日常營運帶來了資料存取的方便,但同時也為駭客提供了犯罪的便利條件。誠所謂「利之所在,雖千仞之山,無所不上;深源之下,無所不入焉」,龐大利益當前,駭客無不努力精進其技術,進而致使過去幾年企業資安事件頻傳。

從幾個對企業組織或個人造成重大損失的資安危害來看,如金融木馬、勒索病毒、IoT漏洞攻擊、惡意挖礦程式等攻擊,資安已成了企業必須面對的營運風險。當駭客的武器已從長矛進化到槍炮核彈,若企業的防禦思維不改變,在前面等待的只會是巨大的財務信譽損害及負面監管衝擊。

過去,企業花了很多時間透過各種資安檢測了解自己,但也必須將部分注意力轉到駭客身上,知己知彼,充分利用威脅情資所帶來的情報資訊,提前掌握駭客的攻擊手法、感興趣的目標、將使用的戰術、技術和流程等,是贏得資安戰役的關鍵。

從資安面到營運面風險,威脅情資的使用可分為三個層次:「不問問題」、「問對問題」,以及「會問問題」。對許多企業而言,「不問問題」是威脅情資最常見的現況,其使用方法不外乎是將所訂閱的威脅情資變成定期報告的一部分,或透過資安設備,將資安廠商所蒐集、分析、整理及轉換後的攻擊特徵,派送、部署、滙入到相關軟硬體設備中進行防禦。

黑名單是企業用以建構資安防禦的第一線,也是威脅情資最粗略的價值。但威脅情資對企業的價值遠不只如此。「問對問題」可以讓企業了解駭客最新攻擊目標、所使用的系統弱點、攻擊手法等,並透過蒐集各種同業或其產業所發生的資安事件,讓企業得以提高警覺。

資誠日前發布的《2018數位信任調查報告》指出,在數位轉型過程中,只有53%的企業「從一開始」就全面實施主動風險管理,且只有27%的高階主管認為其董事會獲得適當的網路和隱私風險管理指標。資安風險已成了公司治理必須關注的議題,「會問問題」可讓企業進一步掌握駭客組織及犯罪集團所使用的戰術、技術和流程,其攻擊者及任務內容,可用以推估下一波可能的攻擊趨勢。一旦決策層無法得知企業組識目前所面臨的最顯著風險,便無法從宏觀視野角度俯視全局,進行必要的資源調配提前預防,致使陷入一片茫然,如同在黑暗中摸索前往,不知威脅者現況而一味築高城牆以求心安。

例如從2013年迄今,多家銀行因SWIFT系統被駭客入侵而造成損失的事件,就可了解發生在他國的資安事件,很可能在瞬間就對企業造成傷害。世界因資訊科技而變得更平坦,企業的資安觀點可透過威脅情資而改變,醞釀中的資安弱點也因威脅情資而得以提前被識別及防範。

威脅情資的使用層次,應從「規劃及要求」開始。企業應定義明確的威脅情資目標及任務,說明其需求及目的,讓情資的蒐集、處理及分析能有明確方向,進而發掘企業所需要獨特的威脅情資。需求客製化能減少大量情資雜訊,「規劃及要求」是企業必需用心做的功課,如此才不會陷入「不問問題」而全盤接受資安廠商所傳遞來的「情資」。

有鑑於客戶對資安的高度需求,資誠從多年前就在全球各地布建許多節點,蒐集駭客組織及犯罪集團所使用的攻擊手法、感興趣的目標、所使用的戰術、技術和流程等,並透過威脅情資平台(Threat Intelligence Platform),分析彙整成企業從資安風險到營運風險所關心的資訊,讓資訊人員、管理層及董事會可以獲得其責任範圍所需要的各種資訊。

駭客組織及犯罪集團改寫了資安防禦的面貌,閉門造車一味築高城牆以求自保,已無法抵禦各種先進的攻擊手法,惟有化被動防禦為主動回應,充分掌握威脅情資,才能領先駭客,在下一波攻擊抵達前做好防禦。

Contact us

張 晉瑞

張 晉瑞

資誠智能風險管理諮詢公司董事長, PwC Taiwan

Tel: +886 2 27296666, x26916

關注我們