本文摘自深智數位《物聯網資訊安全實務入門》未經同意請勿轉載、摘編
組織的資安意識
資訊安全是全面性且持續性的工作,需要運用PDCA 的原則,俾便循環式的持續改善資訊安全管理的各項缺失。所謂的PDCA(Plan-Do-Check-Act)原則就是藉由持續地規劃 (Plan)、執行 (Do)、檢查 (Check)、行動 (Act)等四個步驟針對資訊安全管理缺失進行持續改善。
有些資安的風險都是來自於內部人員(insider) 的資安意識薄弱。例如成為社交工程的受害者,被釣魚網站欺騙、密碼強度不夠,不經意使用了被感染的隨身碟⋯等都是組織內人員意識薄弱的一種表徵。
社交工程是利用人性弱點或利用人際之信任關係,獲取不當資訊,例如:獲取帳號、密碼、信用卡密碼、身分證號碼、姓名、地址或其他可猜測身分或機密資料的方法。電子郵件社交工程(social Engineering) 是以傳送電子郵件方式,騙取收件者信任,進而開啟郵件內惡意軟體一種駭客攻擊模式。電子郵件之假冒寄件者的攻擊,如下所述,駭客會假冒成使用者信任的人,進而讓使用者相信而去開啟郵件及含惡意程式之附件或超連結,由於難以分辨真假寄件者,所以一般都能得逞。電子郵件附件檔含有惡意程式,而附件檔案型態不一定是執行檔(.exe),有可能是各種類型檔案,例如.doc、.ppt、mdb 等,甚至是壓縮檔(.rar),也有可能是高危險檔案類型名稱.exe .com .scr、pif .bat .cmd、.doc .xls .pps,t、.reg .ink .hta,或是中危險檔案類型名稱.zip .rar .swf、.html .pdf .mdb。
揭開資安風險的真面目,資訊安全最大的隱患是什麼?
隨身碟也是資訊安全風險的來源,試想以下的情境。船長將一個受到感染的隨身碟交給一位有港口系統存取權限的人員,例如:港務長 (habor master)。他將 USB 插入電腦,結果系統受到了後門軟體感染。黑客藉著此管道獲得系統控制權,並進行後門程式與操作痕跡隱藏,使得弱點掃描軟體無法偵測到。黑客這時即可到暗網 (Dark Web) 兜售此一弱點,等待買家。這位船長就是一位資安意識薄弱的內部人士(inadvertent insider),他在不知情的請況下成為黑客的協助者。也許,船長在之前使用USB 時,曾看到過於螢幕畫面的資安警告訊息,但因為資安意識薄弱,以致疏忽了。
另外,企業內還有一種「影子 IT」的風險。「影子 IT」指的是企業內的一些 IT 解決方案並非 IT 所部門所規劃,或未得到 IT 部門的授權開發,而是由其他非 IT 部門人員所開發的功能,例如 Excel 巨集 (Excel macros)。第三方使用新穎的雲服務管理群組的工具,例如行動通訊軟體工具。雖然這些員工的出發點是好的,但是如果他們未受到任何資安訓練,則有可能在偶然的情況下為黑客開了大門。「影子 IT」的發生原因可能是原本的供應商已不存在;另一原因是舊系統的更新已不支援,僅剩支援最新版本的系統更新而原供應商的報價過於昂為。另外,IoT 裝置常常是使用開源軟體(open source software),而有些開源軟體存在著嚴重的資安漏洞。
資訊安全安風險的來源有許多是源自於開放標準的 TCP/IP 協定並沒有考慮足夠的安全措施,因此讓駭客有機可趁。例如,用 TCP 連線建立時三方交握過程中的SYN 封包洪水攻擊 (TCP-SYN flood) 就是使用三方交握的前二個步驟發出巨量請求,致使服務器方耗盡資源。因為伺服器上可用的 TCP 線數與記憶體空間是有限的,所以如果攻擊方持續的發出封包攻擊,則伺服器將處於忙碌狀態無法服務,如此即可達到服務阻絕的攻擊目的。
之前已提到Confidentiality( 機密性 ) 是指非授權者無法使用或接觸到資訊。 Integrity( 完整性 ) 是指資料不被非授權者或在意外情況下被修改、破壞或遺失。 Availability( 可用性 ) 是指對使用者而言服務必須保持在可用狀態,任何違反CIA 的行為即是資安事件。應用程式與系統都是代碼編寫而成,再加上未考慮足夠安全措施的 TCP/IP 網路協定,使得漏洞幾不可免。如果組織成員的資安意識不足就加重了洞被駭客利用的機會。
從台灣資安漏洞揭露平台 https://www.twcert.org.tw/tw/lp-132-1.html,可看到各種最新的資安漏洞。如下圖:
怎麼評估無形的資安威脅?你一定要知道的關鍵方法
若詳細檢視任何的物聯網系統的可能資安風險,其清單勢必非常嚇人。實際上,沒有百分百的資訊安全,只有有效的風險管理和控制。資訊安全風險管理與控制能做的就是盡可能管理風險並將風險發生機會或衝擊降到最低。
在分析風險時,有一個風險值 (risk value) 的概念,風險值可以表示成下式:風險值 = 風險所造成的衝擊 × 風險發生的機會,可以簡記為風險值 = 衝擊 x 機率。一般是使用衝擊機率矩陣做分析,也就是以衝擊大小發生機率構成一個平面。橫軸表示機率,左邊發生機率小,右邊大。粽直表示衝擊,上方衝擊大,下方衝擊小。這裡的機率是指資安弱點、漏洞及威脅發生的可能性 (likelihood),而衝擊是指對資產所造成的衝擊。資產就是對組織有價值的任何有形或無形的事物。一般可分為下列幾類:
(1) 資料資產─如資料檔案、使用手冊等。
(2) 書面文件─如合約書、指南等。
(3) 軟體資產─如應用程式、系統軟體等。
(4) 實體資產─如電腦、磁碟片等。
(5) 人員─員工。
(6) 公司形象與聲望。
(7) 服務資產─如通訊服務、技術服務等。
組織資產的分類如下圖所示:
漏洞(vulnerability) 是指系統或裝置在設計或內部控制程序的瑕疵或缺點, 若被無意或有意啟動,會造成資訊安全性的破壞或系統安全政策的違背 (NIST SP800-30)。漏洞本身並不會立即造成傷害,但是漏洞如果沒有適當地管理,將促使威脅真的發生。最終就會影響到資產的一種或多種情況的損失。因此漏洞在便是資安風險時也是很重要的風險項目。必須估計出各個風險項目的發生機率與衝擊大小。一般這個項目被稱為風險項目的定量分析。
辦識出所有可能的風險項目之後,那如何進行風險項目的定量分析,以下舉出一種作法。首先,訂定風險可能性的衡量尺度,如下表所示:
接著,訂定風險衝擊大小的衡量尺度,如下表所示:
資訊安全風險定量分析是有關某特定漏洞發生資安威脅的可能性, 以及對組織資產所造成的衝擊。NIST (National Institute of Standards and Technology) 美國國家標準與技術局的 SP800-30:Risk management Guide for Information Technology 對資訊科技領域的風險管理制定了管理指引。這表示資訊安全不是只有網路技術與設備,資訊安全管理制度也很重要。
先行智庫為台灣管理顧問公司,服務內容包含企業內訓、顧問諮詢等服務,了解更多企業服務內容:https://kscthinktank.com.tw/custom-training/