业界书屋_专家业界
主页 > 赏析介绍 >微软亚洲首席安全顾问皮耶‧诺伊 揭示企业资安防护三大要点 >
近年来资安事件频传,诸如加密勒索软体横行、身份剽窃、资安攻击组织化等趋势,让大至国家政府机关小至个人无一能倖免于难,加上行动装置普及与社群网络的推波助澜,将企业资安防守战线无限延伸、挑战也更形艰鉅。台湾微软为了协助企业擘划在「行动优先,云端至上」世代的企业资安策略蓝图,特别邀请微软亚洲首席安全顾问皮耶‧诺伊 (Pierre Noel)访台,除了分享全球企业资安三大趋势:一、攻击目标从随机变成特定化;二、攻击形式规模经济化;三、使用者行为主导,并同时揭示企业资安防护三大要点:一、事前预防胜过事后修补漏洞或取回外洩资讯;二、强调使用者行为安全重于装置安全;三、企业应提高资安管理层级并採用通过国际认证的资安服务。

微软亚洲首席安全顾问皮耶‧诺伊 揭示企业资安防护三大要点

骇客攻击目标特定并讲求经济效率 使用者行为成为防害关键
无论是乌克兰电力网路遭骇客攻击导致大停电、孟加拉央行存放于美国联準会联邦储备银行纽约分行的存款遭骇客成功盗转8,100万美元、巴拿马文件风波等资安事件,在在显示资安攻击已非随机、单一的攻击,其犯罪方式不但更加组织化且更具经济规模,俨然成为国家安全与企业营运的另一重大危机。然而,放眼全球,相关基础资讯建设、资安投资以及资安人才的欠缺,让各国政府与企业高阶管理人不得不重新思索云端世代的资安布局。

根据台湾微软2015年受客户委託针对涵盖银行、保险、运输、传产 、高科技、製造业和公部门等7大产业5万多名企业内部使用者,透过使用多重手法进行总计近18万次测试,彙整不同测试结果并交叉分析后发现:有高潜在风险易遭锁定攻击之帐号佔47%、使用者行为具高风险者佔38%、违反邮件安全规範而导致系统遭感染佔32%、密码帐号权限遭破解并盗用佔29%、设备遭植入殭尸网路佔9%。根据上述测试,近4成使用者是新兴数位攻击的高风险族群,在强调经济规模与特定目标的前提下,资料已成为更胜于金钱的勒索标的。同时据统计,使用者被骇客攻击后平均需243天才会发现[2],然而攻击者只需80-100小时,就可让发送攻击来源消失且顺利取得使用者的资料,攻击型式变化的速度已非传统防护模式可抵御。

「网路犯罪(Cybercrime)、骇客主义(Hacktivism)与恐怖主义(Terrorism)有一个共通点即为没有规则可循,其所驱动的网路犯罪与攻击,已在全球造成近1兆美元的损失,因而减损的生产力产值每年也高达3兆美元[1]。举例而言,恶意软体的攻击成等比级数成长,光是行动恶意软体数量就成长了250%,指向式攻击频率也增加了5倍;身份遭剽窃的数量也高达7,700万笔。」微软亚洲首席安全顾问皮耶‧诺伊 (Pierre Noel) 表示,「即便是守备严密的美国军方与国防部都无法在资安攻击中倖免于难,光是美国军方约聘人员便有90,000笔E-mail 遭窃、美国国防部更有24,000个档案遭窃,显见资安攻击的目标愈来愈特定也愈具经济规模。」


[广告]

「行动优先,云端至上」世代 资安管理应从四大原则与三大面向管理
无论是BYOD、BYOC、物联网感测装置或行动装置,仅针对装置进行安全防护已无法抵挡资安攻击的无孔不入。此外,随着社群网络与相关应用兴盛,工作与私人领域的界线日渐模糊,使用者的行为反而更显重要。如何从下而上筑起资安的防线,透过科技辅助重塑资安企业文化,将是高阶经理人责无旁贷的管理课题。

微软亚洲首席安全顾问皮耶‧诺伊 (Pierre Noel)表示,「针对规模与影响範围日渐扩大的资安攻击,我们提出了四大主要防範原则:治理(Governance)、可课责性(Accountability)、与企业文化相容程度(Compatible with the Culture)与动态的风险管理(Dynamic Risk Management);以及三大管理方向:一、管理来源多且量大的资料、二、从个人层级管理使用者行为与;三、从多元存取点进行管理。这些原则也鼓励企业在既有的企业文化内,推动使用者资安意识提升并进而改变使用者行为。」

企业应提升资安管理层级至CEO 选用符合国际安全标準验证的供应商有效控管资安风险
根据国际知名研调机构 Gartner 所预测,资讯安全科技与服务的全球市场规模将在2020年超过1,200亿美金。微软身为提供全方位资讯解决方案的技术厂商,在资讯安全上持续不断的投资与研发,也创造了不少独到优势,例如:微软在全球有100万台以上伺服器,可获得遥测数据进行分析,预先防範攻击。此外,微软也是仅次于美国国防部,最常遭受网路攻击的对象,也使微软在防堵攻击上的技术与策略有更丰富的经验与独到见解。除了致力防守资安漏洞外,微软进行高可信度电脑运算 (trustworthy computing)工作已逾14年,其运行依循安全性、隐私安全、法规遵循与透明化等四大原则,不但是率先取得全球公认ISO/IEC 27018国际云端安全标準的供应商,也获得超过57%的财富500大企业採用。

「据统计,2015年台湾中大型企业有80.1%曾发生资安事件[2]。针对企业资安管理,以往都是CIO或CTO全权指挥,但面临现在攻击无孔不入、大小装置都有可能遭受攻击的资安现况,资安不但为CIO/CTO的关键业务执掌,也被视为是CEO关切的五大议题之一[3],显见其重要性。」微软全球助理法务长兼台湾微软公共暨法律事务部总经理施立成表示,「在云端应用布局是否能够符合企业资讯安全策略与规範,进而促成企业转型并提高生产力,有赖供应商善尽管理、监督与提供技术支援。因此,选用符合国际安全标準验证的供应商,也可确保供应商能提供符合国际标準要求的资讯安全管理制度,协助企业从资讯基础建设、装置乃至使用者行为都能有效管理,预先架设完备的资安防护网。」

当企业面对愈来愈猖獗且具针对性、大範围式的网路攻击该如何因应?微软亚洲首席安全顾问皮耶‧诺伊 (Pierre Noel)表示,因攻击的层次不断升高、範围不断扩大,企业除了从软体、硬体与云端都应採用符合国际安全规範的服务外,也应及早教育企业内部使用者不当使用行为的危害,才能有效控管资安风险,防护企业资安于无形,也防範资安攻击于未然。

微软协助企业全方位资安防护 事先预防胜于遭骇后补救
微软针对新世代的企业资安相关威胁,例如身份窃盗、资讯攻击与入侵、持续性威胁等,强调需及早预防胜过事后应变并提供相应的解决方案。
1. Windows 10提供了装置安全、身份安全、企业资料保护与线上保护等解方案,例如Microsoft Passport 以双因素认证方案登入Windows 10;另外,机密守卫(Credential Guard)可保护用于单一登入的使用者衍生凭证,保护敏感性资讯。
2. Microsoft Azure公有云服务是业界唯一承诺最高等级99.95% SLA不停机保证,其Azure Security Center 服务,透过独步业界的仪表板型式检阅所有安全性状态,使用者只要一眼即可确认安全性状况达到迅速预防、侦测并回应威胁。
3. 甫于今年3月底在台发表的SQL Server 2016全面加密、 资料列层级的资讯安全与动态资料遮罩等特色,让企业享有安全的资料新平台。
4. Microsoft Enterprise Mobility Suite 具有全方位跨平台资安防护,提供身分识别、装置管理、应用程式管理、资料保护与威胁分析等防护,为企业提供全新3D立体监控、打造3A等级企业资安防护。
5. Office 365 的设计依据Microsoft安全性开发週期,在服务等级方面,Office 365透过深度防御的方式,提供实体、逻辑和资料层的资安功能及最佳营运实务作法。此外,Office 365更提供企业等级的使用者和管理员控制功能,可更进一步保护企业的资讯环境。

上一篇: 下一篇: