善用技术工具并采取对策 因应内外部网安威胁

企业员工窃取个资、研发机密的事件频传，为有效防制内部威胁，网安厂商纷纷从不同角度出发，提出对应的监控分析方案，「用户与实体行为分析」(UEBA)即是其中一例。Micro Focus

回顾2017年初至今，在上半年期间，发生了几起备受瞩目的网安事件，包括2月期间爆发史上头一次证券商集体遭DDoS攻击勒索，紧接着在3月初，多所学校的网络打印机收到恐吓信件，黑客扬言若不支付3个比特币，便将发动攻击以瘫痪校园网络，也算是第一次有学校集体遭到攻击勒索。

到了5月份，再度出现一个「史上第一」的攻击事件，即是爆发全球大规模感染的WannaCry，它是史上第一只勒索蠕虫，当然台湾也无法置身事外。

短短不到4个月的时间，台湾接连面临了数起前所未见的网安威胁，幸运的是，尽管一开始雷声大得吓人，但最终的雨点却不算大，也就是实际的灾损，比预期轻微不少，尤其是学校遭攻击勒索事件，甚至仅是虚惊一场，成为IT与网安业界聊备一格的话题而已。而这些波折，反倒激起了若干正能量，比方说人们开始重视多层式DDoS防御机制，也开始勤于思考如何建立勒索病毒的防护对策，针对员工教育训练、系统漏洞修补、机敏数据存取控制乃至数据备份等诸多面向，陆续展开实际作为。

历经WannaCry，企业更懂得防制勒索攻击

综观前述的因应措施，对于防制勒索病毒与保护关键数码资产，其实都蕴含深层的意义。以员工教育训练而论，旨在促使员工一方面知道勒索病毒的风险、感染途径，二方面当察觉可疑活动时，亦应立即采取必要的适当移动；至于漏洞修补，则务求在任何安全修补程序发布之后，就在最短的时间内予以部署，把黑客利用漏洞发动入侵攻击的机率降至最低。

接下来，透过对于机敏数据的限制存取，堪称一石二鸟的必备妙招，既能防止内部不肖员工轻易带走公司机密文件，二来即使黑客有意控制内部员工为肉鸡，继而步步进逼机敏数据的所在之处，进行的难度也将大幅提高。

至于备份，尽管偏向消极做法，但毕竟网安防护并无一定100%奏效之理，凡事都得做最坏的打算，所以仍有绝对的必要；对此有业者提出建议，企业宜遵行严密的3-2-1原则备份排程，透过至少两种不同格式，保存三份机密数据的副本，且其中一份副本，务必要放在公司内部网络以外的异地，如此一来，就算真的不幸遭到勒索病毒感染，也至少会有一个备份被保留下来，可借此延续公司的营运命脉，不至于完全断了香火。

如果2017年的网安风波，仅止于前述几次事件，那麽基本上还算是安全下庄。但到了后面这几月，其实又发生了数起与网安相关的新闻，尽管看起来未必像DDoS攻击勒索、WannaCry如此沸沸扬扬，但背后值得留意与反思的地方，其实也不算少。

首先可能肇因于上线时程日益逼近，再加上罚则吃重(取决「2,000万欧元」或「全球获利4%」较高的一方)，业界对于欧盟个人数据保护规则(GDPR)的关注程度，明显较往常提高不少，毕竟外国公司搜集欧盟公民数据，也在GDPR规范之列。影响所及，包括数据外泄防护(DLP)、数据库活动监控(DAM)等解决方案，询问度都比上半年或去年来得高，甚至思考运用机器学习演算法来协助遵循GDPR，总而言之，沈寂许多的个资保护议题，如今已再度活络。

其次也是与个资相关的事件。某旅行社不仅外泄旅客个资，后续还引发电话诈骗纷扰，身为主管机关的观光局，也立即要求业者应尽速建立网安防御机制；尽管事发后，不少人推测是该旅行社的数据库遭黑客入侵，但网安业者认为，也有可能是内鬼所为，或者是有合法帐号遭窃、沦为黑客跳板，在此情况下，所谓的网安防御机制，防护范围应该涵盖黑客入侵、内贼及人为疏失等不同情境，不宜仅朝向黑客攻击防护而倾斜。

内部威胁升高，行为监控成显学

无论旅行社个资外泄事件的真正元凶为何，但至少，内贼是一个可能方向，若是如此，便与另一则新闻信息有所关联，只是泄密标的物从个资变成了研发机密文件。

某DRAM公司发现有员工被大陆竞争同业挖角，而这些人涉嫌违反公司信息安全、员工保密协定等规定，透过以手机拍摄、纸本打印等方法，取走包括无尘室维护运作等机密等级以上的重要营业秘密，且输送给对岸竞争同业；该公司向地检署提出检举，几经多时调查，近期全案侦结，相关员工均依违反营业秘密法遭到起诉。

事实上，台湾员工在对岸企业的招手下，开始利用各种方式规避公司防御体系，成功窃取机密并带枪投靠的例子，可谓屡见不鲜，无论过去、现在的相关案例都很多，展望未来，诸如此类事件也不会绝迹，使得部份网安业者不免为之忧心，直指企业内部威胁犹如热带气旋，恐持续壮大，甚至伤及台湾产业根基，后续效应不容小觑。

因应内部威胁一触即发，其实已有不少网安厂商针对这个主题，提出不同的防制方案，综观这些方案的内涵，说穿了其实就是持续监控加上完整的轨迹记录。

有业者认为，不管是个资抑或研发数据、智能财产，都足以动摇公司营运基石，由于事关重大，当然必须尽全力加以防范；既然这些珍贵的资产都是数据，那麽就应该从数据监控分析的角度着手防御，相关保护机制含括基础的数据库监控，再进一步扩展到应用程序、档案系统及云端环境的整体防护，如此才能迅速把发生于不同节点的事件串联起来，针对可疑的迹象，确切识别是否真的是内部威胁，有效防护企业机敏数据。总之，过往纯粹由防火墙或防毒软件个别组成的孤岛式安全机制，已不符现今所需，且对于内部威胁的反制力道明显疲弱。

另有业者提倡「用户与实体行为分析」(User and Entity Behavior Analytics；UEBA)。所谓UEBA概念，系由研究机构Gartner于2015年9月所提出，算是一种针对内部使用者存取行为的进阶网安分析机制；从字面上看，即不难看出UEBA与早期的UBA(User Behavior Analytics)略有不同，差别就在Entity(实体)，也就是UEBA强调的是使用者与其接触的实体之间的关联性，借此掌握威胁脉络，帮助企业清楚看见风险之所在，并适时展开应变处理。

举例来说，透过UEBA所勾勒的员工与实体行为轨迹记录中，发现某天有几名员工，在淩晨试图透过公司电脑连结内部系统，搭配其他佐证数据，发现其中仅一名同仁因为筹备隔日的大型活动，选择留在办公室挑灯夜战，确实属于合法存取行为，但其余数人根本不在办公室，此行为便显得相当突兀，足见背后大有玄机，值得管理者深入探究，看看到底是员工因应在家加班所需，不得已利用翻墙软件操作内部电脑，抑或遭到黑客入侵。

此外近期闹得满城风雨的远东银行遭骇事件，已有不少网安专家赶忙分析个中症结，但其中最值得商榷之处，仍在于内部个人电脑与国际汇款系统SWIFT主机之间，并未完全做到实体隔离，以致黑客可藉由个人电脑为跳板、辗转入侵SWIFT，最终成功盗走6,000万美元。此一事件凸显不少企业的网安防护基本功，至今依然不够到位，展望未来更顽强的威胁风暴恐一波波来袭，在此之前，唯有赶紧亡羊补牢，把网安马步紮得稳一些，才是上策。