公益團體的資安策略指南(一):透視黑色產業鏈,建構防禦碉堡
整理/趙家薇
編按:《網路星期二》於9月28日舉辦講座──給非營利組織的資安自保手冊,邀請戴夫寇爾 (DEVCORE) 執行長翁浩正分享NPO可以如何應對資安議題。NPOst整理該場講座內容,彙整成《公益團體的資安策略指南》系列報導,讓公益團體有更多知識與工具,預防資安破口!
現今資訊爆炸的時代,資安問題無所不在,駭客生態更是日新月異,以往資安事件較偏惡搞及趣味性,如移花接木國家旗幟,或是留下到此一遊的宣示短語等,駭客們藉此得到讚譽;但近年來,資安最大敵手已非駭客,而是黑色產業。
黑色產業將駭客技術與犯罪集團掛鉤牟利,背後龐大的金錢利益是推動黑色產業持續發展的關鍵。交易互利下,詐騙集團欲購買電商網站或慈善機構的個人資訊,委由駭客負責進行組織性攻擊,已成常態,駭客往往挑選資安能量低的組織,獲取犯罪情資並將資料在暗網上轉賣牟利,甚至形成販售毒品、槍械、政府資料的地下市集。
木桶理論-提高組織全員的資安意識
黑色產業對企業造成的威脅不容小覷,於此同時,政府及企業面對的不只是攻擊,而是資訊不對稱,這正是公益團體也要同步意識到的議題。敵暗我明的資訊不對稱將提高組織資安防禦規劃的難度,對此,身兼台灣駭客協會副理事長的戴夫寇爾執行長翁浩正,擅長分析駭客手法及資安專業訓練,以資安顧問的角色給予非營利組織在資安規劃上的建議,提高組織內部成員的資安意識,才是讓企業變得更安全的解方。
翁浩正將組織類比為木桶,每片木板是成員的資安意識,駭客理所當然會錨定企業最脆弱的短板,因此,資安意識低落的同仁將成為攻擊目標,即便有資安專家坐鎮,幾片較高的木板也無力回天,水仍會從最低的木板漏出,造成個資外洩。因此,只有提高全員的資安意識,才更能有效防堵駭客攻擊,創造更安全的企業環境。
盤點資安弱點、強化應變能力
美國聯邦調查局局長曾說:「在美國,大公司有二種:一種是被中國駭過,另一種是還不知道已經被中國駭過。」政府、企業、組織分秒都暴露在被駭客入侵的風險下,在資安攻擊成為科技世代下的必然後,組織該如何強化自身體質,盡可能避免並適應攻擊,成為一大關鍵。
翁正浩建議從攻擊方的角度進行思考,他指出,「應變」是維持資安最重要的切入點,以生病為例,在極短的時間產生病識感,進而有效緩解症狀,才是應對資安事件的正確態度。
面對層出不窮的資安事件,翁浩正建議,組織需要對自己有更全面的了解,盤點資安弱點,並揀選出不能被外洩的機密資料。首先,需釐清組織的重要資產,如捐款個資與信用卡付款資料,以及其被放置於平台資料庫的位置;進而區辨能存取資產的使用者權限,強化對服務建置廠商或公司內部成員的存取權管控;最後須審視如何保護資產,採取對資料加密、帳號密碼設定等措施。透過以上步驟進行組織內部資產盤點,才能對症下藥,確保資料安全。
6W2H的資安策略建議
NPO組織的資安疑難雜症多不勝數,最常面臨人力及設備不足、勒索病毒、資料外洩等狀況,在缺乏資源、外包廠商配合度低的雙重困境下,遭受資安攻擊對NPO而言無疑是雪上加霜。因此,針對資安事件,翁浩正提出6W2H策略建議,讓組織在有效建立資安規範及應變措施上能有所依循。
策略一:6W
6W分別為:Who、Why、What、Which、Where、When。Who:需先判斷攻擊者,可能為網軍或詐騙集團;Why:釐清攻擊原因及背後動機,係為牟利或國家指使;What:判斷攻擊者的目標,養成盤點敏感資料的習慣,將有價值的資產妥善保護,管控存取者權限並適時啟動防禦與稽核機制;Which:解析攻擊路徑,包括舊版作業系統、未升級之主機設備等,重新評估資產風險,汰舊換新;Where:判斷攻擊從何而來,捐款網站多從外部網路遭受攻擊;而捐款者的帳號多以釣魚竊取同仁電腦或由帳號植入病毒,從內部發動攻擊;When:觀察攻擊時間,可能是政府網軍的官方編制,或是民間駭客。
策略二:2H
2H則分別為: How、How much。How:攻擊的手法為何?透過何種病毒及惡意程式,利用組織的哪些漏洞攻擊;How much:攻防所需資源的多寡,讓攻擊方在獲取個資情報的同時需付出多少機會成本與時間風險才能成功。從6W2H著手,能更精準判斷組織需要投入的資源多寡,訂定組織的資安防禦等級,同時也能藉以審視外包廠商的資安策略,提供非營利組織應變資安事件的自保方法。
尤其在資訊供應鏈的時代之下,不論是企業還是非營利組織將資訊服務外包已相當常見,下一篇指南將進一步釐清服務使用者與外包廠商之間的關係,理解系統委外合作的相關注意事項。
資料來源:網路星期二 給非營利組織的資安自保手冊
延伸閱讀: