微軟亞洲首席安全顧問皮耶‧諾伊 揭示企業資安防護三大要點
(2016年5月12日,台北) 近年來資安事件頻傳,諸如加密勒索軟體橫行、身份剽竊、資安攻擊組織化等趨勢,讓大至國家政府機關小至個人無一能倖免於難,加上行動裝置普及與社群網絡的推波助瀾,將企業資安防守戰線無限延伸、挑戰也更形艱鉅。台灣微軟為了協助企業擘劃在「行動優先,雲端至上」世代的企業資安策略藍圖,特別邀請微軟亞洲首席安全顧問皮耶‧諾伊 (Pierre Noel)訪台,除了分享全球企業資安三大趨勢:一、攻擊目標從隨機變成特定化;二、攻擊形式規模經濟化;三、使用者行為主導,並同時揭示企業資安防護三大要點:一、事前預防勝過事後修補漏洞或取回外洩資訊;二、強調使用者行為安全重於裝置安全;三、企業應提高資安管理層級並採用通過國際認證的資安服務。
駭客攻擊目標特定並講求經濟效率 使用者行為成為防害關鍵
無論是烏克蘭電力網路遭駭客攻擊導致大停電、孟加拉央行存放於美國聯準會聯邦儲備銀行紐約分行的存款遭駭客成功盜轉8,100萬美元、巴拿馬文件風波等資安事件,在在顯示資安攻擊已非隨機、單一的攻擊,其犯罪方式不但更加組織化且更具經濟規模,儼然成為國家安全與企業營運的另一重大危機。然而,放眼全球,相關基礎資訊建設、資安投資以及資安人才的欠缺,讓各國政府與企業高階管理人不得不重新思索雲端世代的資安佈局。
根據台灣微軟2015年受客戶委託針對涵蓋銀行、保險、運輸、傳產 、高科技、製造業和公部門等7大產業5萬多名企業內部使用者,透過使用多重手法進行總計近18萬次測試,彙整不同測試結果並交叉分析後發現:有高潛在風險易遭鎖定攻擊之帳號佔47%、使用者行為具高風險者佔38%、違反郵件安全規範而導致系統遭感染佔32%、密碼帳號權限遭破解並盜用佔29%、設備遭植入殭屍網路佔9%。根據上述測試,近4成使用者是新興數位攻擊的高風險族群,在強調經濟規模與特定目標的前提下,資料已成為更勝於金錢的勒索標的。同時據統計,使用者被駭客攻擊後平均需243天才會發現[2],然而攻擊者只需80-100小時,就可讓發送攻擊來源消失且順利取得使用者的資料,攻擊型式變化的速度已非傳統防護模式可抵禦。
「網路犯罪(Cybercrime)、駭客主義(Hacktivism)與恐怖主義(Terrorism)有一個共通點即為沒有規則可循,其所驅動的網路犯罪與攻擊,已在全球造成近1兆美元的損失,因而減損的生產力產值每年也高達3兆美元[1]。舉例而言,惡意軟體的攻擊成等比級數成長,光是行動惡意軟體數量就成長了250%,指向式攻擊頻率也增加了5倍;身份遭剽竊的數量也高達7,700萬筆。」微軟亞洲首席安全顧問皮耶‧諾伊 (Pierre Noel) 表示,「即便是守備嚴密的美國軍方與國防部都無法在資安攻擊中倖免於難,光是美國軍方約聘人員便有90,000筆E-mail 遭竊、美國國防部更有24,000個檔案遭竊,顯見資安攻擊的目標愈來愈特定也愈具經濟規模。」
「行動優先,雲端至上」世代 資安管理應從四大原則與三大面向管理
無論是BYOD、BYOC、物聯網感測裝置或行動裝置,僅針對裝置進行安全防護已無法抵擋資安攻擊的無孔不入。此外,隨著社群網絡與相關應用興盛,工作與私人領域的界線日漸模糊,使用者的行為反而更顯重要。如何從下而上築起資安的防線,透過科技輔助重塑資安企業文化,將是高階經理人責無旁貸的管理課題。
微軟亞洲首席安全顧問皮耶‧諾伊 (Pierre Noel)表示,「針對規模與影響範圍日漸擴大的資安攻擊,我們提出了四大主要防範原則:治理(Governance)、可課責性(Accountability)、與企業文化相容程度(Compatible with the Culture)與動態的風險管理(Dynamic Risk Management);以及三大管理方向:一、管理來源多且量大的資料、二、從個人層級管理使用者行為與;三、從多元存取點進行管理。這些原則也鼓勵企業在既有的企業文化內,推動使用者資安意識提升並進而改變使用者行為。」
企業應提升資安管理層級至CEO 選用符合國際安全標準驗證的供應商有效控管資安風險
根據國際知名研調機構 Gartner 所預測,資訊安全科技與服務的全球市場規模將在2020年超過1,200億美金。微軟身為提供全方位資訊解決方案的技術廠商,在資訊安全上持續不斷的投資與研發,也創造了不少獨到優勢,例如:微軟在全球有100萬台以上伺服器,可獲得遙測數據進行分析,預先防範攻擊。此外,微軟也是僅次於美國國防部,最常遭受網路攻擊的對象,也使微軟在防堵攻擊上的技術與策略有更豐富的經驗與獨到見解。除了致力防守資安漏洞外,微軟進行高可信度電腦運算 (trustworthy computing)工作已逾14年,其運行依循安全性、隱私安全、法規遵循與透明化等四大原則,不但是率先取得全球公認ISO/IEC 27018國際雲端安全標準的供應商,也獲得超過57%的財富500大企業採用。
「據統計,2015年台灣中大型企業有80.1%曾發生資安事件[2]。針對企業資安管理,以往都是CIO或CTO全權指揮,但面臨現在攻擊無孔不入、大小裝置都有可能遭受攻擊的資安現況,資安不但為CIO/CTO的關鍵業務執掌,也被視為是CEO關切的五大議題之一[3],顯見其重要性。」微軟全球助理法務長兼台灣微軟公共暨法律事務部總經理施立成表示,「在雲端應用布局是否能夠符合企業資訊安全策略與規範,進而促成企業轉型並提高生產力,有賴供應商善盡管理、監督與提供技術支援。因此,選用符合國際安全標準驗證的供應商,也可確保供應商能提供符合國際標準要求的資訊安全管理制度,協助企業從資訊基礎建設、裝置乃至使用者行為都能有效管理,預先架設完備的資安防護網。」
當企業面對愈來愈猖獗且具針對性、大範圍式的網路攻擊該如何因應?微軟亞洲首席安全顧問皮耶‧諾伊 (Pierre Noel)表示,因攻擊的層次不斷升高、範圍不斷擴大,企業除了從軟體、硬體與雲端都應採用符合國際安全規範的服務外,也應及早教育企業內部使用者不當使用行為的危害,才能有效控管資安風險,防護企業資安於無形,也防範資安攻擊於未然。
微軟協助企業全方位資安防護 事先預防勝於遭駭後補救
微軟針對新世代的企業資安相關威脅,例如身份竊盜、資訊攻擊與入侵、持續性威脅等,強調需及早預防勝過事後應變並提供相應的解決方案。
- Windows 10提供了裝置安全、身份安全、企業資料保護與線上保護等解方案,例如Microsoft Passport 以雙因素認證方案登入Windows 10;另外,機密守衛(Credential Guard)可保護用於單一登入的使用者衍生憑證,保護敏感性資訊。
- Microsoft Azure公有雲服務是業界唯一承諾最高等級95% SLA不停機保證,其Azure Security Center 服務,透過獨步業界的儀表板型式檢閱所有安全性狀態,使用者只要一眼即可確認安全性狀況達到迅速預防、偵測並回應威脅。
- 甫於今年3月底在台發表的SQL Server 2016全面加密、 資料列層級的資訊安全與動態資料遮罩等特色,讓企業享有安全的資料新平台。
- Microsoft Enterprise Mobility Suite 具有全方位跨平台資安防護,提供身分識別、裝置管理、應用程式管理、資料保護與威脅分析等防護,為企業提供全新3D立體監控、打造3A等級企業資安防護。
- Office 365 的設計依據Microsoft安全性開發週期,在服務等級方面,Office 365透過深度防禦的方式,提供實體、邏輯和資料層的資安功能及最佳營運實務作法。此外,Office 365更提供企業等級的使用者和管理員控制功能,可更進一步保護企業的資訊環境。
[1] Why senior leaders are the front line against cyberattacks: http://www.mckinsey.com/insights/business_technology/why_senior_leaders_are_the_front_line_against_cyberattacks
[2] 【iThome 2016年CIO大調查:資安應用篇】臺灣資安數據大解密:http://www.ithome.com.tw/article/103979
[3] Why senior leaders are the front line against cyberattacks: http://www.mckinsey.com/insights/business_technology/why_senior_leaders_are_the_front_line_against_cyberattacks