首页 > 最新消息 >[iThome Forcepoint CTO专访] 手机和云让企业IT边界模糊,新信息安全防御策略要更看重人

最新消息

2018-05-21

[iThome Forcepoint CTO专访] 手机和云让企业IT边界模糊,新信息安全防御策略要更看重人


Forcepoint使用者及资料保护技术长Brandon Swafford表示,企业IT环境变的越来越复杂,不论是各种云端服务、行动装置甚至是远端或差旅的行动工作者,都让传统单点的信息安全防御方式失效,得改用新法

根据国际研究机构顾能(Gartner)所做的研究资料显示,全球信息安全产品与服务支出,2017年支出达864亿美元,到2018年则增加到930亿美元。另外也有资料显示,一直到2020年,全球的信息安全支出也将高达1,130亿美元。

从企业大手笔的信息安全投资可以证明,现在的企业组织为了维持企业的持续营运,对于信息安全威胁已经到了不得不重视,甚至也必须越来越重视的时候。

因此,多数的企业组织也愿意持续投资在各种信息安全产品与服务的采购上,虽然信息安全投资的金额和比例持续增加,但事实上,许多资料外泄的信息安全事件,却依旧层出不穷,没有因为信息安全投资的增加反而有所减少。

以近期最严重的的资料外泄事件,全美第三大消费者信用报告业者Equifax在2017年9月对外坦承遭到骇客入侵,导致1.46亿名消费者个资外泄为例,外泄的资料包括消费者的姓名、生日、社会安全号码、电话、驾照号码、电子邮件甚至包括信用卡资料在内。

而协助调查的信息安全公司指出,这一切资料外泄事件的起因,却只是因为一个应该早该修补但却没有及时修补,漏洞编号为 CVE-2017-5638的Apache网站伺服器的Struts漏洞。

对于Equifax公司而言,外泄的是重要的消费者各种个资,起因却是因为企业内部的信息安全团队成员,没有及时修补重要的网站漏洞造成的。从这样的资料外泄事件也引发诸多疑问,那就是,为什么企业组织对于信息安全投资持续增加的同时,却没有办法减少这类资料外泄事件的发生频率呢?

信息安全公司Forcepoint使用者及资料保护技术长Brandon Swafford表示,因为我们生活在一个网路与装置界线越来越模糊、难以清楚界定的零边界(Zero Perimeter)的世界里面,这类资料外泄的信息安全事件,比过往更具有破坏性与杀伤力。

因此,企业的资安人员就必须要意识到,关注这些信息与数据和人员的流向与连结,而不是一直针对此起彼落的各种信息安全预警或信息安全事件做出回应。

现实的企业IT环境就是,所有的数据资料都四散到各种类型的云端服务,不论是微软Office 365或者是亚马逊AWS甚至是各种网路储存空间Dropbox或Box等;或者是人手一机的智慧型手机与平板电脑等,甚至是远端连网的工作者,或是自带装置(BYOD)到企业内部使用的各种行动工作者,都有机会储存或使用企业的各种资料。

他认为,在这个缺乏明显边界的企业环境中,信息安全防护措施应该如何部署,才能够避免这些四散的资料不会外泄,则成为现在企业组织在信息安全防护上的一大挑战。

企业网路环境越来越复杂,传统信息安全防御方式不适用

企业内,不论是老板或员工,在总部或是分公司工作,甚至是在差旅的途中,都必须透过网际网路进行各种企业内部资料的交换与传送。

不过,也有许多企业,也开始将原先在企业内部使用的应用程式和资料,上传到各种类型的云端平台提供服务;不只企业内部要交换资料,还必须跟客户、夥伴以及各种上下游供应商进行各种的资料交换。

所以,企业开始遇到各式各样的风险,每一个人与网路连接的节点,都是骇客可以入侵的入口,也都是资料可以外泄的出口。但要确保这些资料不会外泄,就必须要能够清楚掌握资料在哪里,「只有看得到资料从何处来、往何处去,才有办法控制资料的流向。」Brandon Swafford说道。

不只如此,当企业网路环境的边界变得越来越模糊时,许多企业内部的信息安全政策也开始与现实环境脱节,政策归政策、信息安全防护作法归作法,两者就像是两条平行线一般,互不搭理的同时,也成为企业信息安全的缺口所在。

此外,像是Equifax在去年发生的资料外泄一例,问题并不是出在Apache网站伺服器的漏洞本身,而是,为什么应该负责修补漏洞的团队,也就是「人」,没有意识到这个漏洞会对企业带来重大损害呢?

由此可以观察到,企业内的漏洞修补政策步调,无法跟上企业对于信息安全保护的需求时,就可能像Equifax一样,爆发难以预期的信息安全风险漏洞,进而造成企业的重大损失。

当然,也有有其他一些非常看重信息安全,并且非常按部就班的企业,除了会一步一脚印、打造良好的信息安全环境所必备的各种基础设施之外,也会蒐集各式各样的设备信息做分析。

不过,Brandon Swafford表示,因为所有的企业信息无所不在,从公有云到私有云,从各种随身的智慧型装置到可携式装置,信息安全团队必须要收集来自各种IT设备的登录档(Log)信息,甚至是企业内的人资系统、财会系统、以及各种分析系统的使用记录等,作为信息安全分析的标的,藉此,进一步找出过去几个月,甚至是过去几年,可能发生的各种信息安全事件所包含的人、事、时、地、物等多种信息。

为了要找出这些信息安全风险的真正讯号,「企业旧有的信息安全作法已经行不通了,」Brandon Swafford明白说道。

他进一步指出,以往透过单点部署信息安全设备的方式,已经无法解决现代企业所面临的信息安全风险,必须要进一步从点扩大到线以及面的层次,才能够真正分析出信息安全风险的讯号,并且降低不必要杂讯而淹没重要的警告,以免影响企业决策。

企业内部的信息流要做可视化,IT人员才有办法管理;再搭配使用者行为进行风险等级分级分类,就可以有效控管企业内部的信息安全风险。

学习从「人」的角度,思考信息安全风险所在

从1990年~2010年间,信息安全业者关注的重点在于,监控企业内部各种可疑的网路流量。这时候,只要可以掌握企业流量的变化,就可以掌握企业内网路风险的所在。

不过,从2010年开始后,骇客出现各种更诡谲多变、更难以察觉的企业网路入侵手法,从各种对外管道入口,渗透并入侵企业,发动针对式攻击到APT(进阶持续性威胁)攻击,加上骇客在企业内部的潜伏期可以从一星期到十年不等,企业信息安全长要思考的重点就是,应该要让骇客「进得来却出不去」的情况下,便得要做到,有能力阻止骇客在企业内部的横向移动,也就是企业的IT人员必须有能力在企业内部,设置各种有效的控制点,并且阻绝骇客从入侵的单点目标,可以透过各种可能的方式,进一步缓步地移动到,骇客锁定标的的使用者电脑中,可以偷取相关的机敏资料,并且将资料往外发送到骇客掌控的控制与命令伺服器。

但现在,随著企业IT环境逐渐采用各式各样的云端服务,加上企业内部的资料交换与讯息沟通方式,也都从早期只有内部员工,到现在逐步扩展到外部客户、供应商,甚至是远端办公与差旅中的行动办公的员工在内,都让骇客可以采用更复合式的网路攻击手法,达到窃取资料的最终目的。

Brandon Swafford表示,这样的方式,也让企业原先的IT管理方式,显得落伍且不适用,企业信息安全长必须更有重新思考一套,如何做到更有弹性去管理并面对,包括云端服务和远端员工等IT系统与员工,所交织而成的复杂企业网路环境的管理方式。

「要管理这些资料,就必须要能够掌握信息流,最终必须要回归到有一套妥善管理人的节奏的方式。」Brandon Swafford指出,现代化的信息安全风险管理方式,其实就是一种以人为中心(Human-Centric)的信息安全策略。

他也进一步解释,掌握信息流并掌握人的行为,就是以人为中心的信息安全管理策略。

若以掌握信息流来说,确保重要的机敏资料不会外泄到企业或组织外部,必须要先做到企业资料盘点,然后管理并控制这些资料的流向,也要做到即时(Real-Time)的防护,以确保资料数据不会受到任何损害。

再者,这些资料在对内甚至对外流动时,一定要确认,必须是经过企业内部合法授权的使用者才能够存取,确保这些使用者,可以在他们所使用的任何装置上,有效率且安全的处理企业相关资料,并对外阻绝相关的信息安全风险。

最后,也必须要可以分析使用者的行为,但这必须要从资料与资产对企业营运带来的价值作为分析的基础,并且深入观察使用者行为和云端服务的使用状况,作为评估与控制风险的参考。

「可以将使用者依照风险程度分级,」他指出,回归到「以人为中心」的面向,更在意他是谁?他在做什么?可以让我们更好辨识,在他们存取系统时,知道可以允许或拒绝谁存取,这样的限制也会改变他们存取系统和资料的方式。

例如,在下班离峰时间,即将离职、跳槽的员工,频繁存取机敏资料到网路云端硬碟或随身碟的异常行为,因为这样的作为将可能对企业营运带来重大的危害,就可以将这样的人分级列为高危险群。

透过奠基在统计学、异常分析、稀少性分析的分析模型上,加上深度学习的技术,找出对员工最适合的风险控管程度,就可以进行相关的信息安全预测,在信息安全政策的设定上,就禁止这些高风险员工存取相关的机敏资料,一旦有这样的行为,系统就会立即阻挡并进行通报。

Brandon Swafford认为,如果这些重要的机敏资料,就如同皇冠上的珠宝一样重要的话,企业信息安全长就要先定义出商业流程,并分解每一个流程,确认到底有谁可以看到这些重要的机敏资料,「只有当这些资料流向可以做到可视化,企业IT人员才有办法控管他们,也可以降低风险。」他说。

全球Forcepoint调查:近7成企业无法掌控信息流与人的行为

信息安全公司Forcepoint先前曾经针对全球1,252名信息安全专家进行一份信息安全调查,报告内容指出,随著有越来越多企业开始采用各种类型的云端服务,以及各种行动装置成为企业内部IT环境不可切割的一部分,这也使得企业内部追踪各种信息流向,变得比以往更为困难。

其中,只有36%的受访者对于目前所使用的信息安全工具感到满意或非常满意;另外,也有46%的受访信息安全专家表示,非常在意行动装置上个人与商业应用程式的安全性。

但是,也有58%的专家表示忧心,因为企业对于员工在云端服务和行动装置上,究竟如何使用企业内重要关键信息,只具备中等或轻微的可视性。从上述这样的数据显示,企业IT部门并无法有效掌控信息流的流向。

再者,该份调查中也看到,信息安全专家并不满意目前所使用的信息安全工具,尤其是,虽然有80%的专家认为,必须要了解使用者与资料彼此的交互作用与流向,且有78%的专家认为,理解使用者行为背后的意图非常重要。

但从这份数据的调查中发现,只有28%的企业指出,他们可以有效掌握信息流和人的行为。

这意味著,有将近7成的企业,并无法掌控企业内部的信息流,也无法有效控管使用者的行为。

 CTO小档案 

Brandon Swafford--Forcepoint使用者及资料保护技术长

学经历:沃西本恩大学传播学院法律组毕业,先后任职于鉴识公司、法律事务所、谘询顾问公司和政府委外的信息安全公司等,2011年于博思艾伦谘询管理顾问公司担任资深信息安全工程师,2013年7月于对冲基金公司桥水联合基金担任首席信息安全工程师,于2016年12月担任Forcepoint使用者及资料保护技术长一职迄今

iThome专访原文连结:https://www.ithome.com.tw/people/123162