資訊發達的這世代,最令人防不勝防的駭客攻擊,應該是儲存單位僅以Kilobyte(KB)為單位的「木馬」。因為木馬太小、現代電腦又太快,一個簡單的手指點按就會讓木馬下載到我們的行動裝置,再從社群軟體橫向擴散到自己的PC,然後就進入公司NAS、公司內網等,小小的木馬,完全感覺不到他的存在;等到一旦突破公司內部帳密系統,進入AD核心,霎時間豬羊變色,可怕的事情就發生了⋯⋯。
午夜夢迴時我不禁問我自己,究竟是因為駭客都是神人?還是產業界的資安防護拼圖總是少了一個關鍵的基礎建設?
在2 1 世紀數位轉型以及5G快速飆網的時代,根據捷而思從事資訊安全基礎建工作多年經驗發現, 資訊安全可以有相對應的4P檢核基本框架。分別是:POLICY(政策)、PRODUCT(產品)、PROCESS( 流程) 、PEOPLE(人員)。
POLICY 政策
每家企業都應該有適合自己的資安政策,最簡單有效且放諸四海皆準的資安政策,應該首推ISO系列國際資安標準:
(1)ISO 27001資訊安全管理系統(Information Security Management System,ISMS)。例如:高強度的密碼應該是8至15位數、英文字大小寫、符號、數字、三個月更換一次,且不得重複。我們的人腦真的有能力做到嗎?通常都是幾組密碼行遍天下,真的很危險。建議還是用PKI-enable的OTP(one time password)比較實際,這方面借助軟體來達到國際資安標準比較容易。
(2)ISO 27701要求個資與隱私的國際資安標準。對於個資的同意、收集、處理、使用、遮罩等都應符合國際資安要求,特別是有歐洲客戶的廠商,GDPR對於個資外洩的相關罰款是很可怕的。
(3)ISO 22301營運持續管理系統(Business Continuity Management System,BCMS)。就是建立持續性運營管理系統,原本適用於資安高風險的產業;但目前台灣各型企業處於國際駭客高度攻擊的前提下,真的需要盡早導入BCMS國際標準政策確保企業的持續運營。
(4)IEC 62443工控資安。IEC 62443符合性評估包含用於開發、整合、維持特定產品或解決方案的資訊安全能力。在台灣工業4.0的政策之下,相關工控場域、遠距醫療等產業運營環境的資安刻不容緩。
PRODUCT 產品
由於大多數的駭客行為都是「禍起於蕭牆之內」,因為不小心,讓木馬從一個裝置跑到另一個裝置,最後透過AD系統開始勒索⋯⋯。
所以資安的關鍵產品應該要回到資訊安全的基本面,也就是資安的基礎建設-網路公開金鑰基礎建設(Public Key Infrastructure,PKI),透過多因子認證將駭客擋在外面進不來,即使有高明駭客成功滲透系統內,也因為沒有私鑰可以解密檔案,而沒有辦法進行勒索。
PKI技術,不是只有單純的加解密而已,PKI結合了雜湊、對稱及非對稱函數,可以確保資料的完整性(防篡改)、電子簽章(不可否認性),可對資料進行加密(隱密性),並決定誰可以打開(授權)等。
PKI演算法,諸如:SHA就是一種雜湊函數用來檢驗資料是否被更動過,RSA及橢圓曲線密碼學ECC即為非對稱性簽章/加密演算法。例如:我們使用憑證報稅時就是確定身分後才會下載年度所得,下載的資料就會用對稱性加密演算法,例如:3DES、AES來保護。在網路上有那麼多重要的資料,結合這些演算法再加上其他管理面的資安機制,就可以確保我們即使面對駭客使用暴力破解(brute-force attack or exhaustive attack)也可以保證安全。當每個重要機敏的檔案資安防護等級提高之後,自然不用害怕駭客攻擊。
以PKI為基礎資安的安控元件可以完全解決在網路環境下最重要的四大資安問題:他人冒用、事後否認、篡改及竊取。
PKI的解決方案就在於可以用「身分認證」機制,避免帳號密碼被他人冒用,進而達到「身分識別」的效果;當遇到資安事件,當事人事後否認時,可以用PKI的「電子簽章」機制,達到「不可否認性」;遇到有心人「篡改」重要資料時,可以用PKI的「各種演算法加密」達到資料完整性的資安目的;當公司的機敏資料遇到有人惡意「竊取」時,透過PKI的「合法授權」機制,可以完整保存機敏資料的「完整性」不至於讓資料被偷走。
簡單的說,透過PKI安控元件可以幫您的企業做到以下的資安防護:
‧Availability高效率、低耗電,使AIoT設備不會輕易「沒電」,方便又好用。
‧Authentication身分確認,可以確切知道是誰使用。
‧Authorization合法授權,帳戶只給有權利使用的人使用、申借。
‧Confidentiality資料保密,採用高強度難以破解的演算法,資料不外洩。
‧Integrity資料完整性,保證資料不被篡改。
‧Non-repudiation不可否認,運用PKI的簽章機制,讓走過必留下痕跡,無法否認曾經在系統上做的事情。
PROCESS 流程
企業是否有資安相對應的組織與資安稽核?
企業網路:網路登入控管、弱點掃描機制、監控系統的資安標準?
智慧製造:系統登入控管、影像設備、軟體韌體設備更新、設備金鑰管理資安?
人力資源身分認證資安:公司員工與上、下游供應商員工的行動認證;遠端登入控管;權限控管資安?
其他資安要求:多因子認證管理機制、同地、異地備援資安?產線報工、排程、物料通知自動化、機台生產資料、AoI人工智慧光學檢測、設備健康度等工控資安是否有到位?
事實上,每個企業都應該有屬於自己的資安控管流程,資安流程不一定要花大錢,但是基本的安控資安軟、硬體的互相搭配是必須的。
PEOPLE 人員
我們發現,資安的最大漏洞其實是「人」。人員的資安成熟度很重要,比方說:人員休假、職務輪調、離職相關的密碼是否都有即時處理?帳號密碼就是公司統編、電話或服務商的電話?密碼就貼在機器或牆壁上?協力廠商是否在人員異動或離職之後有即時做到修改密碼?對於同時使用手機與PC、平版軟體的同事,我們有相對應的資安管理SOP嗎?對於氾濫的釣魚電子郵件,企業是否有清楚的規範告知員工,那些類型的附加檔案是不可開啟的嗎?對於公司所有大大小小有連網的機台、設備,是否有清楚的盤點資料或區段網路設置嗎?
資訊安全就像我們人體的健康一樣,當我們健康時,不會想到生病的痛苦;很多客戶,都覺得資安廠商一直在作恐怖行銷,問題是,這些恐怖事件卻是不斷真實地發生在你、我生活的周圍,資安是任何人都無法置身事外,任何人都不應該幸災樂禍,或是覺得倒楣的不會是我。
捷而思經過深耕資安領域多年、深黯被駭客入侵後客戶的痛苦,因此特別提出資安4P(POLICY、PRODUCT、PROCESS、PEOPLE)作為大家TURST資安防護的基本檢核標準。
古有明訓:「君子務本、本立而道生」。在快速飆網的5G與遠距工作及數位轉型的世代,且讓資安防護回歸基本面,在PKI的保護傘下,身體有了抗體才能健康地抵擋病毒,自然達成百毒不侵,業績持續自然成長,不駭怕。