要是說2017年是對企業充滿挑戰的一年,未免輕描淡寫。社會互連愈趨緊密,企業應時刻為未來可能遭受的網絡攻擊作好預備。所有企業應該保持一定程度的網絡衛生 ── 定時備份資料、修補作業系統及應用程式漏洞,以盡量降低其數碼資產的受攻擊面。
Palo Alto Networks副總裁兼亞太區安全總監Sean Duca表示,踏入2018年,當企業相繼以新科技改革營商模式,就必須留意相關的安全問題,採取行動降低風險,而非避免使用新科技。只要對現有和潛在的威脅有所了解,知道消除風險的方法,就能保持警惕,防範網絡罪犯於未然。
自己數據自己保護
第三方廠商雲端儲存在近日的新聞報導中時有出現,尤其是AWS的簡易儲存服務S3。在AWS服務中,有一項名為「bucket」的功能,是企業在AWS雲端服務中,用來儲存網上資料的容器,當中有可能存在敏感資訊。
曾有企業因為錯誤設定AWS S3 bucket而泄露敏感資訊。近數個月間,資料外泄事件屢見不鮮,遭泄露的包括:敏感檔案、密碼、住址、客戶資料庫,以及超過1.8億名美國選民的個人資料。而以上每宗外泄均源於錯誤設定S3 bucket,使資料暴露於互聯網。事實上,Bucket可以進行特定的安全設定,而人為疏忽往往是資料外泄問題的開端。
人為疏忽漏洞百出
與其他雲端供應商一樣,AWS採用的是共同責任模式。AWS負責雲端和基礎設施的保安,包括:網絡、儲存和運算;另一方面,其用戶須自行承擔雲端上資料的保安責任。當用戶任由資料開放供他人閱覽,資料外泄的過失明顯歸於用戶而非AWS。這絕非AWS獨有,而是其他雲端平台,或數據儲存庫所共同面對的問題。
「現時,企業面臨共同的挑戰,就是一旦開放了bucket供外界瀏覽,資料就會自動曝光。若企業數據可被改寫,風險將變得更大。當不法分子看上了那些可被修改的bucket,他們可以上傳惡意軟件到bucket,並重新寫入檔案。此外,如果你將代碼存入這類數據儲存庫,他們也可以改寫你的代碼。」Duca續指,網上的現成工具可讓不法分子透過關鍵字搜尋,輕鬆找到企業的bucket;若這個bucket剛好是開放為可讀/可寫的,要修改就易如反掌。
大多企業正著手或已經使用雲端來儲存數據、遷移和開發應用程式,企業必須檢查並確認讀取資料的人的身份。基於近期事故,可預料黑客會尋找漏洞以盜取數據,但企業仍可以把握主動權,進行風險管理。
企業應該深入思考以下問題:在雲端儲存了甚麼敏感數據?一旦外泄會帶來甚麼影響?在員工和商業夥伴中,誰有權限讀取這些敏感數據?數據如何受到保護?企業所採取的保護措施是否足夠消除風險?
保密性、完整性和可用性
傳統上,大多數網絡攻擊都針對保密性和可用性:攻擊者以破壞或偷竊等方式來獲取知識產權,或者其他形式的數據,再進行阻斷服務攻擊(DoS),以阻止使用者讀取相關資訊和系統。Duca認為,企業多數著眼保密性和可用性,而忽略了完整性的重要,然而它所面臨的挑戰卻日漸升溫。
Duca又將數據比喻為新一代的石油。它推動著企業向前發展,影響企業運作,以至政府機關推行新政策。數據盜竊所帶來的風險眾所周知,惟大眾對黑客從竊取數據,改為操縱數據這策略上的轉變卻是如夢初醒。
數據完整性,是確保資訊只有授權使用者,才能讀取或進行修改。針對數據完整性的攻擊,讓黑客進行未經授權的存取,並修改這些數據,以達致不同目的,例如獲取經濟利益、損毀名譽,或純粹使數據變得一文不值。
妥善落實金鑰管理
虛假數據可以誤導,甚至癱瘓金融市場,例如通過修改銷售數字,帶動公司股票價格上升。公共事業、智慧城市以及其他物聯網系統,從交通燈到供水系統,都會因數據被篡改而無法正常運作,帶來極嚴重後果。
要預防此類攻擊,企業可從以下方面入手:
- 教育員工和客戶如何保持資訊安全和有效保護個人資料。這有助員工理解如何保護公司的數據;
- 熟悉公司的數據,知道收集和產生方法,以及分辨出數據中最敏感的內容。全面了解所擁有的數據,是設計保護措施的第一步;
- 善用多重因數認證,在用戶名和密碼之上,多加一層安全保障。這安全措施會牽涉用戶「所知」和「所有」的特殊元素,而不僅是通用模式(如密碼)。
不論在內部部署、公有雲或混合雲中,均要以加密技術來保護敏感數據。一旦有人竊取企業數據,亦盡可能減低數據被破壞或更改所帶來的影響。加密的效果取決於企業所實行的金鑰管理,金鑰需要被儲存於保密的硬件中,來確保其安全。若把鑰匙藏在門毯底下,即使用上世上最好的門鎖,賊人還是有機可乘。