打造坚强应变机制 昂然因应云端网安风险

藉由黑色产业地下市集，黑客可轻易获取零时差漏洞信息、恶意程序码，乃至可用以进行诈骗活动的大量个资，进而为企业带来更具杀伤力的威胁。(来源：Dark Web News)

毋庸置疑，论及云端时代的网安攻防，不仅是一场信息不对称的战争，且攻击者与防御者双方的实力差距，仍在逐步扩大当中；现今的攻击活动，已非源自单一黑客、或一小撮黑客群体的献技心态，而是诉诸专业分工的黑客团队，凭藉背后偌大黑色产业的支撑力道，从而基于牟利动机所发动的组织型攻势。

回顾2016年至今，举凡让人咋舌的第一银行ATM盗领事件、勒索软件肆虐，乃至多家券商集体遭受DDoS攻击勒索，以及令企业主惊恐不已的「变脸诈骗(Business Email Compromise)」或「商业流程入侵(Business Process Compromise)」，皆是肇因于组织型恶意攻击。

这些接踵而至的网安事件，难免会让企业担惊受怕，使得原本躇踌满志的上云计划或其他创新举措，因而陷入谨小慎微、进退维谷的窘境，让数码转型动能趋于衰竭，形成负面循环。

组织型攻击  防御难度高

当然，攻守双方实力的不对称，除了来自于黑客团队的军容愈趋壮盛外，更可怕的因素在于，黑客的攻击技术、威胁手法日新月异，单凭企业现有的防御机制，要想遏阻敌军进犯，难度愈来愈高；此乃由于，黑客团队不仅集结了身怀不同技术的专业好手，且不论对于钻研当前防护机制的罩门，抑或对于诸如大数据分析、机器学习、人工智能等创新技术的追求态度，都比居于防守方的企业机构，更加积极进取。

除此之外，正所谓工欲善其事、必先利其器，即使有些人未必拥有前述高超技能，如果能善用黑色产业的地下市集，借助他人的智能结晶，进而取得攻击程序、范本程序(Exploit Code)、诈骗数据等各式资源，照样能摇身一变，成为带有杀伤力的攻击者。

因此只要有心，人人皆可能沦为黑客，而企业必须提防的，即是来自四面八方极具攻击效率的恶意人士，倘若未能与时俱进提升自身防卫能力，就可能在网安攻防战役中落居劣势。

有业界人士说，时至今日，带有引君入瓮意味的网络钓鱼，已经落伍，取而代之的，已是既细腻又精准的「纳米式攻击」，或是夹带攻击演练行为的「虚拟化渗透」，其间更擅于利用公有云作为攻击跳板，藉以掩藏恶意身份、让企业无从追踪中继站IP；在此前提下，如果企业不能体察时势，仍仅针对譬如网络钓鱼等旧的攻击手段布建防御工事，可想而知，便很容易让黑客长驱直入。

仅倚靠预防  恐难避免灾厄

网安形势看来愈来愈险峻，企业如何是好？首先，企业不宜继续一厢情愿，认为已经引进足够的网安防御系统，亦已遵遁ISO 27001标准，就认定自己会一直相安无事，而必须假设自己必然遭受恶意入侵、甚至不排除已经被入侵得逞。

只因为如前所述，具有组织且专业分工的黑客集团，会不断研发与嚐试成效更佳的攻击手法，所以今天看似完备的「事前」防护体系，明天很有可能出现破口，仅凭这般机制来扞卫珍贵的数码资产，肯定有所不足。

知名研究机构Gartner在2014年提出「预防无用论」，也不偏不倚地呼应前述论点；该机构认为，企业绝对无法成功阻止针对性攻击的入侵，强烈建议企业应永远假设自身正受攻击，所以整体性的持续防御流程，会比预防黑客的攻击更为重要。

换言之，企业在建构事前安全防护系统之余，也应该针对过往明显不足的「事中」应变、「事后」复原等相关机制加以补强，否则就算拼尽全力布建最强大的防火墙、防毒软件、入侵防御系统(IPS)、网页应用防火墙(WAF)、Anti-APT、Anti-DDoS等防护工具，依然难以安枕无忧。

至于企业要如何在既有网安防御能力之外，打造有效的事中应变、事后复原乃至于监识等架构，首要之务便是整合内外部威胁情资。也许有人认为，其实企业已经在运用威胁情资，主要来源即是网安厂商，由这些厂商主动追踪与调查网安事件，继而根据事件的来龙去脉，包括相关系统弱点的修补，产生对应的解决之道，让用户套用于网络或网安系统之上；但殊不知网安威胁型态多元，且攻击者来自全球四面八方，仅凭单一或少数业者的力量，并不太容易全盘掌握。

善用威胁情资  淬炼网安体质

专家建议，除了收纳带有商用授权性质的网安威胁情资外，其余包含源自公开信息的Blacked IP/Domain/URL、tor Hash或IOC(Indicator of Compromise)等情报，透过社群媒体(譬如Twitter及脸书)、弱点数据库、网安专家博客及相关网安新闻网站整理分析网安趋势，乃至于针对暗网论坛(Dark Web)进行监控、据以掌握最新威胁，都是不可或缺的情资来源。

前述种种，清一色为外部情资，然而对于有心做好网安的企业来说，亦应重视内部情资，比方说可借助安全事件管理系统(SIEM)，针对内部遭遇的威胁情况进行整理、分析与研究，理解各个面向的业务流程风险，借此产出有用的情资。更重要的，企业应力求有效整合内外部各类情资，作为制定或调整网安决策的依据。

倘若企业有能力掌握第一手情资，不仅能强化抵挡恶意入侵的实力，更可透过对于攻击手法与来源的理解，将相关信息汇入旗下各式网安系统，以达到纵深联防功效，另外再搭配建立网安应变流程与组织，如此一来，即可循序补强事中应变、事后复原等过往多所不足的机制。

值得一提的，在企业持续掌握最新威胁情资之余，也有必要针对带有较高风险的业务活动，设计与实施攻防演练，且该演练应侧重于兵棋推演、绝非纸上谈兵，意在模拟入侵的战略思维，所以除了需要在演练过程中配置Red Team(攻击员)、Blue Team(回应员)、White Team(引导员)、Grey Team(观察员)等不同角色。

总括而论，企业可按下列步骤实施攻防演练：(一)确认演练目标；(二)设计演练情境；(三)协调人员、资源与行程；(四)发展演练计划与检核表；(五)准备相关工具与环境；(六)动员Red Team、Blue Team、White Team、Grey Team等不同角色执行攻防演练；(七)产生计分机制及报告内容。

经由上述各项举措的淬炼，企业不仅能了解敌人，也更清楚自己的弱点，从而对症下药调理网安防御体质，有效因应数码科技带来的网安风险，在此前提下，即可昂然迈向云端，不会因为惧怕恶意入侵、担心机密外泄，延宕数码转型的步伐。