企业信息安全事故层出不穷 探究网络威胁新招

2011年刚过了一半不久,世界各地的企业信息安全事故便已接二连三爆发, 其中不少受害机构更是知名企业, 互联网安全解决方案供应商Check Point 软件技术有限公司指出，此等网络犯罪案件有其共通性,企业应该从中学习预防之道。

社交工程攻击

梁国贤表示，此等攻击的另外一个相似之处，是它们都采用社交工程技巧。网络罪犯先锁定及操纵企业内部的员工，以“破解人心”的方式渗透进公司系统。不幸地是，用户通常是公司安全系统中最脆弱的一环。黑客永远都能找到有漏洞可攻击的使用者：或许是安全意识不足的新进员工，或是过度热心，以致于不小心透露太多信息的秘书。一旦进入公司系统后，黑客就会不动声色地运作。他们会在被侦测到且公司开始进行调查之前，尽可能潜伏并窃取最多的信息。有时甚至可能长达数年。

此外，这些网络罪犯不再是各自独立的业余黑客。他们类似恐怖份子，具有资金、动机及目标，组成精密组织。黑客部署相当多的智慧、时间及资源，精心策划社交工程攻击及收集信息财产。其造成的损害大小，完全取决于攻击者的主观意愿。

黑客的金矿：信息
梁国贤指出，财务信息不是唯一值得窃取的高价值数据。从这些入侵事件中所见，攻击者寻求较多的是一般的客户信息，而少为特定的账单或信用卡数据，这类信息对垃圾邮件寄发者而言非常值得利用。

企业的客户数据库记录，包括通讯方式、姓名及电子邮件等，就等于拥有许多宝贵的信息。此信息可用来制作自定义化的垃圾邮件，加注用户的姓名、详细数据及兴趣后，便显得十分逼真可信。比起一般的垃圾邮件，容易使得使用者开启自定义的垃圾邮件并按下链接，使垃圾邮件寄发者的获利。

亡羊补牢未为晚也
梁国贤表示，公司不应抱持着已善尽本份，因此不会受到攻击的错误观念。锁定目标的攻击日益增加，没有任何公司能完全幸免。企业必须在网络罪犯及其公司网络和资产之间，尽可能建构更多的屏障。

保护应从涵盖网络、端点，以及连接网络等多重安全性装置间部署清晰安全策略开始。企业需要进行多层保护，包括功能强大防火墙及入侵防御系统(IPS)来侦测混合威胁；全面化端点安全解决方案，以保护端点及行动装置安全；预防性的数据外泄解决方案来保护信息资产。安全策略必须配合公司商务目标，并让内部员工充分了解。此外，企业应该重新仔细检视数据资产的取用方式，以重新评估如何做出最妥善的保护。

梁国贤表示，在关闭对预设攻击者的“大门”外，企业也必须努力防备其长期的“后门”—也就是使用者本身。人为错误是技术无法单独解决的安全问题，因为它没有确切的修补方法。这必须依赖公司主动地敦促、训练和教育员工，让他们变成真正的公司信息安全卫士。

梁国贤总结说，Check Point提倡的“3D 安全”方针就是要协助企业应对此等挑战，这个理念的要点是指出安全保护应该是一个三维的立体商业流程，通过整合安全政策、人员以及到位的执行力，为各个层面提供固若金汤的安全防护。凭着3D安全方针，企业能够掌握及实施一个超越技术层次的安全蓝图，确保得到周全的信息安全。