要是說 2017年是「對企業充滿挑戰的一年」,未免太輕描淡寫了。社會連結愈趨緊密,企業應時刻為未來可能遭受的網絡攻擊作好預備。所有企業應該保持一定程度的「網絡衛生」,即定時備份資料、修補作業系統及應用程式漏洞,以儘量降低其數碼資產的受攻擊面。
踏入2018 年,當我們繼續以新科技來改革營商模式,就必須留意相關的安全問題,採取行動降低風險,而非避免使用新科技。只要對現有和潛在的威脅有所了解,知道消除風險的方法,就能保持警惕,領先網絡罪犯。
1. 雲端其實是別人的電腦──你的數據,由你保護
「第三方廠商雲端儲存」在近日的新聞報導中時有出現,尤其是 AWS 的簡易儲存服務(Simple Storage Service, S3)。在AWS服務中有一項名為「bucket」的功能, 是企業在 AWS 雲端服務中用來儲存網上資料的容器; 當中有可能存在敏感資訊。
曾有企業因為錯誤設定 AWS S3 bucket 而洩露敏感資訊。近數個月間, 資料外洩事件屢見不鮮,遭洩露的包括:敏感檔案、密碼、住址、 客戶資料庫以及超過 1.8 億名美國選民的個人資料。 而以上每宗外洩均源於錯誤設定 S3 bucket,使資料暴露於互聯網。
Bucket 可以進行特定的安全設定, 而人為疏忽是資料外洩問題的開端。
與其他雲端供應商一樣,AWS 採用的是共同責任模式。AWS 負責雲端和基礎設施的保安,包括:網絡、儲存和運算;另一方面, 客戶需自行承擔雲端上資料的保安責任。 當你任由資料開放供他人閱覽,資料外洩的過失明顯歸咎於客戶而非 AWS。這絕非 AWS 獨有, 而是其他雲端平台或數據儲存庫所共同面對的問題。
現在,企業面臨共同的挑戰,就是一旦開放了 bucket 供外界瀏 覽,資料就會自動曝光。若你的數據可被改寫,風險將變得更大。 當不法分子看上了那些可被修改的 bucket,他們可以上傳惡意軟件到 bucket 並重新寫入檔案。此外, 如果你將代碼存入這類數據儲存庫,他們也可以改寫你的代碼。
網上現有的工具可讓不法分子透過關鍵字搜尋,輕鬆找到企業的 bucket;若這個 bucket 剛好是開放為可讀/可寫的,要修改就易如反掌。
大多企業正著手或已經使用雲端來儲存資料、遷移和開發應用程式, 企業必須檢查並確認讀取資料的人士的身份。基於近期發生的事件, 可以預料有人會找尋漏洞以取得數據,但企業仍可以把握主動權,進行風險管理。因此,企業應該深入思考以下問題:
- 在雲端裡儲存了甚麼敏感資料?一旦外洩,會帶來甚麼影響?
- 在一眾員工和商業夥伴中,誰有權限讀取這些敏感資料?
- 資料如何受到保護?企業所採取的保護措施是否足夠消除風險?
2. 數據是新一代石油,而關鍵在於其完整性
資訊安全的基本原則包括:保密性、完整性和可用性。
傳統上,大多數網絡攻擊都針對保密性和可用性:攻擊者以破壞或偷竊等方式來獲取知識產權或者其他形式的數據,再進行阻斷服務攻擊 (DoS attack),以阻止使用者讀取相關資訊和系統。 企業多數關注保密性和可用性這兩點,以至忽略了完整性,然而它所面臨的挑戰卻日漸升溫。
數據是新一代的石油。它推動著企業向前發展,影響企業運作以至政府機關推行新政策。因此,數據盜竊所帶來的風險已眾所周知。但大眾對黑客現時從竊取資料改為操縱資料這策略上的改變卻是如夢初醒。
資料完整性,是確保資訊只有授權使用者才能讀取或進行修改。針對資料完整性的攻擊讓黑客進行未經授權的存取並修改這些資料,以達至不同目的,例如獲取經濟利益、損毀名譽或純粹使資料變得一文不值。
虛假資料可以誤導並癱瘓金融市場,例如通過修改銷售數字帶動公司股票價格上升。公共事業、智慧城市以及其他物聯網系統,從交通燈到供水系統,都會因資料被篡改而無法正常運作,帶來極嚴重的後果。
所有企業都應該開始預防這類攻擊,並可從以下方面入手:
- 教育員工和客戶如何保持資訊安全和有效保護個人資料。這有助員工理解如何保護公司的數據。
- 熟悉你的數據,知道收集和產生方法,以及分辨出數據中最敏感的內容。全面了解所擁有的數據是設計保護措施的第一步。
- 善用多重要數認證,它在用戶名和密碼之上多加一層安全保障。這安全措施會牽涉你「所知」和「所有」的特殊元素, 而不僅是通用模式(如密碼)。
- 不論在內部部署、公有雲或在混合雲中,均要以加密技術來保護敏感資料。一旦有人竊取你的「御寶」,我們希望儘可能減低數據被破壞或更改所帶來的影響。加密的效果取決於企業所實行的金鑰管理,金鑰需要被儲存於保密的硬件中來確保其安全。若把鑰匙藏在門毯底下,即使你用上世上最好的門鎖,賊人還是有機可乘。
作者:Sean Duca
Palo Alto Networks副總裁兼亞太區安全總監