台北市上周舉行了一年一度的臺灣資安大會,這個包含電腦保安會議的展覽會已經成立了五年,從一開始1000人左右的規模,到今年有超過250場演講,來自20個國家,80間參加展覽的資安廠商,超過多8000 人報名的盛況,可說是亞太區內比較大型的資安會議,媲美年中新加坡舉行的RSA會議。
今年資安大會邀請了總統蔡英文作開幕嘉賓,說明資訊保安的實施近年深受各界關注。筆者有幸參加數次會議及演講,大會主題亦由數年前集中在偵察及杜絕惡意軟件,轉向了近年較多人關注的雲端保安,大數據和AI功能,並於不同保安產品作示範,每年給予參加者最新的保安資訊。
從資訊保安的角度來說,吸收最新安全資訊,追蹤市場產品走向,固然有其重要性。但一般企業而言,人力和財力資源有限,所以預備完整保安策略,更能保護企業資訊,有時較追求日新月異產品,更為有效。
近月,澳洲政府的網絡安全中心,修訂了撲滅網絡安全事故策略的報告,針對企業常見軟件及日常網絡攻擊,提供電腦使用安全的守則。策略內包括8 大重要原則,可說還原基本步,毋須部署尖端保安技術,亦有效可防禦普遍的網絡攻擊。
這8 個安全守則可以分為三大類別,首先是防止惡意軟件的下載和執行。根據香港電腦保安事故協調中心近兩年的調查報告;保安事故的三大類別;分別為殭屍網絡、惡意軟件、網絡釣魚,已佔去合共近九成的攻擊。
所以,防止這類惡意軟件的下載,成為保安守則的首要任務。這方面的建議有四個:首先是訂立企業日常應用軟件名單,只容許職員使用名單上軟件或應用,不可擅自下載軟件。其次,留意及更新常用的軟件,尤其是Flash、MS Office、 Java, 瀏覽器等軟件,最容易受黑客入侵,應該48小時內,完成最新的下載;第三,MS Office中使用Macro 指令集,亦為攻擊者最常用途徑,應禁止從互聯網下載任何Macro 指令集。若必須使用Macro 指令集,也要制訂官方下載渠道,或要具電子証書去認證軟件的身份;第四便是「硬化」現有應用,堵截軟件現有漏洞;例如Flash 可引進潛在攻擊危險,最好便在瀏覽器停止應用Flash 。除Macro外,MS office 的OLE 功能,亦可讓用戶將外掛惡意軟件,變成木馬引入企業內,若沒有使用OLE的需要,亦應在Office套 裝完全禁止Automatic links update的功能。
第二類策略,則是限制網絡攻擊的範圍及權限,當中亦有三個建議:首先謹慎使用系統中超級用戶或管理員賬戶。其實,現代的作業系統已減少了系統管理員直接登陸的需要。最好設計是給予用戶,只是有限度的操作權力,以減低黑客入侵後,控制整個系統的機會;第二,除了應用軟件之外,也要盡快更新作業系統安全升級,最好是48小時內進行。作業系統如iOS 或 Windows等,不時有安全軟件發報,系統管理員隨時留意這類資訊及作出即時的修補。第三,使用多重認證登陸機制;一般企業,用戶要求遙距登入或使用資料,要使用VPN、RDP、 SSH 包含多重認證功能軟件, 以確認用戶身份。
近年,大部份企業使用具網絡功能IoT設備,若遵守以上原則管理,亦可杜絕黑客以IoT設備入侵企業,或將之變成殭屍網的工具。
最後一個策略,便是數據恢復及系統的備份,這是針對系統遭入侵後,如何避免業務停頓,繼續服務顧客;譬如近年流行勒索軟件,入侵後會對伺服器惡意加密,要求先付贖金才釋放數據。若企業有即時備份,便可繼續服務客戶,不須終止運作。
作者:梁定康(Andy Leung),資深IT保安專家,現職設計IT保安及企業網絡