当前位置:游戏巴士 > 游民星空 > 企业资安只顾网路7层不够,专家建议10层全观防护架构

企业资安只顾网路7层不够,专家建议10层全观防护架构

日期:2017-03-20

图片来源: 

摄影_何维涓

去年,骇客针对银行SWIFT系统的攻击,震惊了金融产业。网路监控服务Gigamon全球资安议题专家Ian Farquhar表示,随着全球的金融交易走向即时性,金融业资讯安全防护的时间间距,也从1~2天的因应脚步,大幅缩短到得每秒更新,时时监控系统漏洞,他坦言,现阶段,金融安全面临最大的挑战是,资料科学家必须在越短的时间内,快速建立侦测威胁的分析模型,和决定哪些资料是有价值的。

从网路7层防御,扩大到10层全观检视资安

企业要加快反应速度,就得转变防御思维,才能找出更有效的资安作法。Ian Farquhar举例,若企业只在网路产品建立安全边界,不是已经被骇了,就是即将被骇。因为多数企业常着力于网路层加强防护,现在的骇客攻击已经转向应用层,「企业应该要全观地检视所有电脑设备的安全,就连印表机也不能疏忽,」他建议。

Ian Farquhar建议可用常见网路七层架构,再加上3层变成10层来思考安全防护的层次。第8层要考虑的是个人电脑层的风险,这是最容易成为骇客攻击目标的跳板的一环,第9层则更进一步考虑到企业组织面,企业应该要制定完善的政策与流程来防範攻击,最后第10层要考虑到法律与监管面。他指出,现今很多资源都是开源的,政府要管人,也要管政策,前阵子美国的电邮门事件和维基解密公开美国中情局(CIA)的文件,都显示了政府对于资安的法律和监管,还有许多进步的空间。

Ian Farquhar也表示,近几年,IoT 的风潮兴起,厂商为了能推陈出新抢攻市场,往往忽略了资安的考量,再加上使用者必须自行下载软体,不少使用者认为只要产品没问题,就不会更新软体,Ian Farquhar指出,目前解决IoT安全性的作法,没有一个是全观的解决方案,加上IoT的资料都传到云端,更增加了资讯安全的风险。

不过,「讲到资讯安全,人的问题最大!」Ian Farquhar指出,因应资安挑战,一般企业常从技术、政策和教育训练等三个面向着手,教育训练是企业应先着手的一项。

以预防资料外洩来说,儘管坊间已有资料外洩防护(Data Loss Prevention, DLP)、深度内容检测等技术可以派上用场,但是还需要配合其他方向的作法。在教育训练方面,企业应该要建立一套完整的流程,定期教育员工网路恶意攻击的知识,也可以採用其他企业的案例当教材,让企业内部员工面对网路恶意程式更有警觉心,此外,教育训练还需要包含应变措施,像是备份和还原资料、了解资料外洩的程度。

政策面则要搭配的资料管理和监控政策,尤其是老旧也没价值的资料和系统,因为久没更新,容易让骇客取得权限或是绕过验证机制,所以,他表示,超过5~10年内没再碰过的老旧资料,就可以直接删除,不再让这些资料产生额外的风险。

?