日防夜防家賊難防 認清資安真正敵人

企業可以花費巨款購買技術方案保護企業網路，但仍然無法阻止來自內部
的攻擊，每個資安人員都聽過網路邊界被攻破的事件。新的攻擊方式是透過社會工程學來欺騙員工，由直接威脅網絡，從內而外攻擊系統並完全掌控該公司。

認識社交攻擊

前段時間，有網上銀行遭到攻擊，攻擊者使用真實內部訪問憑證假裝成內部人士。追蹤之下發現該公司的database管理員在社交媒體非常活躍。只要分析其公開資料，攻擊者就能夠套取其安全問題的大概。攻擊者下載大量信用卡號碼，並刪除伺服器，短短數分鐘讓攻擊者完全掌控了網絡重要權限。

上述入侵事件安完全是非技術性，而且大部份入侵行為都是員工無意的洩露。如果企業連簡單的非法訪問都阻止不了，花費再多在邊界防禦方案也是枉然。非技術員工都可以擁有足夠的權限來進行攻擊，同時來自員工的通常慣性受到信任，資料輕易的取走。這正是內部攻擊的危險所在，這種信任可能被利用，自動身份驗證可以被用作攻擊。自內部威脅造成的危害範圍涉及所有人員和機器，企業需要清楚瞭解這些威脅來源，不論員工故意或無意錯手暴露資料。

用人豈能不疑？

企業內部員工存在憤怒或不滿是很正常的事，尤其是準備離職或者已經被解雇的，並仍然有內部系統的訪問權限，這些攻擊者非常危險，因為他們已經知道如何進入網路，並能輕鬆地取得大量資料。對於這種內部攻擊似乎無計可施，85%的內部特權濫用攻擊是透過企業LAN進行，所以是可以監察並防禦的，通過部署和執行存取控制、網路行為分析和安全意識培訓，鼓勵員工報告可疑活動，這類攻擊風險可以得到控制。

慎防大意員工錯誤操作

第二種類內部威脅源於偶然的資料上傳、未能安全地處理檔案。當員工意外暴露資料時，都可能發生內部攻擊。內部攻擊也可能通過合作夥伴或者協力廠商進行，協力廠商被授存取權限，有機會意外暴露資料。這些洩露事故並不是惡意，而是沒有受過相關訓練和輕率的內部人員。企業唯一方法是不要只將資安問題完全依賴IT人員，在上述的每種情況，使用者安全意識及適當的技術方案都可以減少內部威脅造成的影響。

企業先問認清以下問題：

政策是否有效實行運作? 是否有法律和高級管理支援IT做法? 這些類型的計畫是獎勵員工而不是嚇唬他們? 我們是否進行定期審核?

雖然這種方法起初看似不切實際，但全球企業已經通過調整程式和員工意識培訓來減少惡意入侵的數量，有效阻止內部和外部威脅。企業的安全取決於其最薄弱環節—人類，而不是防禦方案本身，當然方案本身的作用就是自動化的阻止危險的訪問行為，兩者互相補足才是預防最佳策略。