加強員工安全意識 才是對抗黑客之道

踏入新一年，網絡犯罪活動將變得更為複雜。為了能成功抵抗愈來愈強的安全威脅，安全專家們便必須對五種主要威脅類型做好應對準備。

在訊息安全領域，2014 年已經是極不平凡的一年，網絡威脅與數據洩露等事故不斷出現，為零售業、銀行業、遊戲網絡以及政府機構等行業造成巨大的衝擊。

信息安全論壇(簡稱 ISF)常務董事 Steve Durbin 指出在 2015 年預計網絡威脅在規模、嚴重程度以及複雜性等方面將會有增無減。ISF 是一個專門為其成員提供安全性評估與風險管理的非牟利組織，此組織對新一年的安全趨勢作出了預測。

1. 網絡犯罪

互聯網已成為犯罪和恐怖分子的活動地方，他們通過各種非法手段賺取收益，甚至包括通過 DDoS 賺錢，所以未來我們將會見到愈來愈多通過 DDoS 從而導致企業及政府業務全面停止的情況。

現時網絡犯罪活動主要由前蘇聯各成員國所發起。這些國家擁有極高水平的相關技能，並配備高級的現代化工具，正如 Durbin 指出，他們通常會利用二十一世紀的工具衝擊二十世紀構建而成的系統。

Durbin 指出在 2014 年，我們發現網絡犯罪活動有更強的技術，而很多大型組織機構還完全沒有意識到這一點。在 2015 年，企業必須為預期之外的安全問題做好準備，從而保證有能力承受無法預料且影響極大的相關事故。隨著網絡規模持續增長、法規性保障的成本不斷提升以及針對現有安全保護措施的攻擊技術，網絡犯罪活動將掀起一股安全威脅趨勢。企業需要對業務的依賴性關係做出更為明確的決定，從而實現業務彈性量化投資的效果，最終減少意外狀況所帶來的實際影響。

2. 隱私與監管

大部分政府機構正在逐步定立相關法規制度，用作保證個人可識別信息(簡稱 PII)資產的維護與使用，而未能遵守相關要求的組織則面臨遭受懲罰的風險。有鑒於此，Durbin 指出，組織需要將隱私作為一項法規性與業務風險考慮，從而減少監控制裁以及各類業務成本，例如企業信譽受損以及因侵犯隱私導致客戶流失的狀況。

而全球不同區域所採取的監管機制在彼此結合之後，很可能在 2015 年讓企業面臨更為沉重的安全保障性負擔。

Durbin 發現越來越多的監管性計劃開始將信息收集、儲存以及使用，並結合數據遺失與洩露所採取的懲罰性手段，此類情況在歐盟地區表現得特別明顯。希望這一股趨勢能夠持續發展，從而在安全效能之外，從法規、人力資源以及中層管理角度強化安全監督。企業應關注歐盟對於數據洩露法規與隱私保護制度，並把它視為基本的參考標準，並根據此建立相應的安全規劃。

Durbin 又指出監管機構與政府部門正積極參與其中，而這為企業帶來更為沉重的負擔。企業需要為此配備更豐富的應對資源，並需要深入了解安全形勢的發展狀況。如果企業中已經聘請了內部法律顧問，那麼他們發揮作用的時候就是現在。如果還沒有聘請此類人員，則需要盡快將其納入成本規劃中。

3.來自第三方供應商的安全威脅

供應鏈是每一間企業營運的重要組成部分。正如 Durbin 所言，安全事務負責人已經開始關注本身企業在面對無數風險因素時的開放程度。供應商往往能夠共享到一系列有價值甚至是敏感性的信息，而在信息處於共享狀態時，相關的直接控制機制也將失去效力。這無疑將導致信息在保密性、完整性以及可用性等層面面臨更為嚴重的安全風險。

Durbin 表示在未來一年中，第三方供應商將進一步面臨來自針對性攻擊活動的威脅壓力，而且很可能無法保障其所涉及數據的機密性、完整性以及可用性。各類規模企業都需要認真考量供應商所帶來的意外，其中涉及知識產權、客戶或員工資料、商業計劃或者談判內容等。而這類思路對於負責製造或者分發的合作搭檔也同樣適用。我們還應將專業服務的供應商、律師以及會計人員視為高風險群，因為他們往往也能輕易存取到最具價值的數據資產。信息安全專家應與負責合約服務的供應商保持更為緊密的合作關係，並從調查角度出發對潛在威脅進行徹底檢查。

Durbin 指出當務之急在於，企業需要構建穩固的業務持續性規劃，從而改善相關彈性並提高團隊對於功能交接能力的信心。一套結構良好的供應鏈信息風險評估方案能夠提供詳盡的分步式實施方法，從而將困難的項目管理工作拆成一個個易於完成的步驟及目標。此類方案應該由信息驅動而非以供應商為中心，因此能夠在不同的企業環境下具備可擴展能力與可重複利用的特性。

4.辦公環境中的 BYOD 趨勢

Durbin 表示，BYOD 趨勢已經客觀的存在，無論企業或組織是否認同，就目前來看，幾乎沒有多少企業能夠真正就此開發出良好的政策方案。Durbin 指出隨著員工不斷將自己的流動裝置、應用程序、基於雲端環境的存儲機制以及辦公環境存取機制引入企業環境，各類規模的組織逐漸發現防範信息安全風險的工作難度已經是前所未有。此類風險貫穿企業內部與外部，包括裝置本身的管理不善，針對軟件漏洞的攻擊以及未經嚴格測試且非可靠的業務應用部署等。如果大家發現目前所在的企業中的 BYOD 風險過高，則至少需要對事態的進一步發展保持關注與了解。如果大家認為此類風險尚在可接受範圍之內，那麼以此為基礎建立一套具備良好架構的 BYOD 方案也未嘗不可。如果實施手段存在問題，那麼辦公環境下的個人裝置策略很可能面臨意外洩露事故，其中包括工作與個人數據邊界模糊以及大量業務信息由未受保護的裝置所保存及存取。

Durbin 同時指出，實際上我們做好應對最差情況的準備，即在制定反 BYOD 管理政策的情況下，用戶仍然想盡一切辦法利用自己的裝置處理日常工作。雖然用一些沙子就能暫時擋住水流的衝擊，但水流總能找到突破的方法。用戶的力量在現代辦公環境下實在太過巨大。

5. 致力於人為因素的控制

談到這一話題，我們就需提及每間企業當中規模最龐大的資產且最為脆弱的目標：人。

在過去幾十年中，企業已經花費了百千萬、甚至數十億美元推動信息安全意識的普及工作。Durbin 指出，這種做法背後理由在於企業意識到人作為業務活動中基本要素的巨大影響能力，並希望利用此類方案改變其行為方式，從而依靠每位員工對於職責及正確實踐方式的認知，因而能加強對抗各類潛在安全風險。

Durbin 強調事實不斷證明這種價值主張根本無法實現。相反，企業需要以更為積極主動的態度調整本身業務流程，將員工由風險根源轉化為企業安全事務中的強大防線。

Durbin 表示 2015 年企業需要轉變思維、由以往的問題發現轉化為建立應對解決方案，並把減少風險程度的信息安全保障手段融入其中。風險是真實存在，因為人們的實際表現仍是一個未知數。很多企業已經意識到人力是其規模最為龐大的資產類型，而大部分員工仍然無法意識到人為因素在信息安全領域中的重要地位。從本質角度來看，人為因素應當是一間企業強大控制體系中的重要核心組成部分。相對於單純要求員工為了相關信息安全而掌握應對措施，各類規模的企業需引入積極的信息安全控制手段，從而將「三思而後行」作為組織中信息安全文化的一大良好習慣並製定根基。儘管多數企業都擁有現成的法規及方案，但安全意識的不足往往使其無法實施。真正的商業性驅動力應該在於風險本身以及如何利用新型應對方式降低此類風險。