編輯部安資捷:網路威脅日趨兇險 兩步驟驗證+加密提供更嚴密防護
盜高一尺,魔高一丈,網路威脅的手法愈來愈多元而更難以防範,而兩步驟驗證結合加密將能提供更完善的防護。
和過去駭客寫病毒、竄改公司網頁炫耀技術、宣誓政治理念不同,現今的駭客發動的網釣、勒索軟體、進階持續攻擊 (APT) 、後門木馬程式等,其實背後已形成一個暗黑產業鏈,而且來者不善,不是有國家資助攻擊,就是志在賺到你的錢。安資捷執行長陳勇君指出,在敵暗我明、攻比守容易,以及戰場從過往的 PC 到現在涵括筆電、手機、甚至數以億計的物聯網 (IoT) 裝置,應該認知到,駭客攻防是一場高度不對等的局面。那麼,消費者要如何自保,而企業又要如何防止公司資產受害呢?
首先,我們應了解許多攻擊的發生都是起於用戶身證遭到冒用。個人用戶身份竊取,例如臉書帳號盜用,可能被用來詐騙或亂發文,但企業用戶身份被竊取,後果可能是造成動輒數億美元的損失。例如 2016 年孟加拉一間銀行存款遭到駭客篡改訂單系統及支付系統被盜轉 8100 萬美元,但關鍵在於變臉詐騙,該銀行業務主管及財務主管身份遭冒用,騙取最高主管放行而釀災。
有鑒於臉書、個人或企業郵件帳號盜用之嚴重,Google 、臉書及 Yahoo 等開始施行「兩步驟驗證」(two-step verification),其中以簡訊發送一次性密碼 (one-time-password, OTP) 再由使用者輸入網頁的方式最簡便。但是只要手機被植入惡意程式,就有密碼被攔截的風險,使安全保障形同虛設。利用主動式一次性密碼 (Active OTP,AOTP),利用綁定手機門號回覆驗證碼給驗證中心,可免於中間人攻擊 (man-in-the-middle),確保身份驗證的安全性。
面對新興的勒索軟體和進階持續攻擊 (APT) 這種針對機敏資料及個資檔案的攻擊,安資捷提出「先掃出、後管控、再稽核」的安控三部曲。首先,盤點企業內的重要資料所在,是放在哪名員工、哪台電腦中的哪一個檔案。然後依據重要性分開進行分別處理,像如一般文件存在硬碟,不再需要的文件則個別或集體刪除,如果是高風險、高價值的資料,如超過 200 筆的客戶聯絡方式則進行本機加密,或針對 500 筆以上的信用卡號、身份證字號,強制集中搬移到加密櫃。並配合個人電腦定期掃瞄,檢查是否疏忽而加集中或未加密,以落實個資保護政策。
企業可以只針對這些「加密櫃」的資料設定相應控管,例如在內網從 KM 、 ERP 及 Portal 下載檔案,或以 USB 下載文件時皆自動加密,解密必須獲得審核,若需發送到外部網路,或是出差必須攜出,這些行為也必須獲得核准。也可以設定程式白名單、網頁浮水印、列印、解壓縮審核,所有行為及審核過程也都全程紀錄。通過使用者帳號驗證、權限檢查、行為控管及紀錄稽核,使得文件一旦離開「加密櫃」就變成垃圾,即使流出也無法被歹徒所用,將勒索軟體及文件竊取的災害降到最低。