Friday, May 20, 2016

企業資訊如何防「黑」防「走光」 (作者: 彭銘楷)

2016年4月5日,位於巴拿馬的莫薩克.馮賽卡律師事務所客戶資料遭到外洩,因被揭露的資料中包含各國政要和精英們的海外資產,這個坊間稱之為「巴拿馬文件」的事件一時間甚囂塵上,被全球媒體競相報道。

當大部分媒介和民眾驚訝A國元首擁有多家海外控股公司,B國首相可能涉嫌逃稅等資訊時,我們還是應該把焦點回歸到事件的本質,那就是「巴拿馬文件」所觸發的全球企業對資訊安全的擔憂和思考,特別是律師事務所、企業服務機構、投資公司等擁有大量機密文件和客戶資料的機構,它們的行業特性和「易黑」特質,更容易招致駭客的攻擊,一旦「淪陷」,將會給企業帶來巨大的財產和聲譽損害。

透過駭客技術竊取

其實「巴拿馬文件」只是資訊安全事件的冰山一角,它之所以備受關注,只因為被牽涉的人士非富即貴的特殊身份而已。據調查,僅2015年和2016年第一季度,全球發生的資訊外洩事件已不勝枚舉,攻擊範疇涉及零售企業、銀行、酒店、支付系統,甚至政府部門,可以說不同的行業均無一幸免。然而遺憾的是,我們不得不承認,更多類似的事件可能尚未被發現或報道出來。

有關「巴拿馬文件」中資料外洩的始末,律師事務所並未透露原因,我們因此也無從知曉。筆者嘗試利用一些「巴拿馬文件」中有限的公開資料作技術分析和評估,看能否找出資料外洩的原因。

根據調查所得,莫薩克.馮賽卡律師事務所與客戶之間的日常往來,是通過設置電子商務平台來實現支付、資訊傳遞、資訊查詢和線上申請等服務的,而此電子商務平台所連接的內部資料庫就是該律師行的核心資料庫,即「所有」客戶的關鍵資料,包括客戶機密或非機密資料。我從網站結構入手進行分析, 認為駭客有可能利用以下方法來竊取資料。其一,駭客安裝惡意軟體(malware)至用戶端後,通過客戶不經意的行為連接到惡意網站(比如當客戶點擊不明來歷的電子郵件中的網址),透過「Man-In-the middle」駭客技術,最後利用用戶端竊取大量客戶資料。

其二,駭客透過詐騙電子郵件,偽裝成電子商務平台的客服人員向客戶發送電子郵件。當客戶打開電子郵件附件,他們便可利用植入惡意軟體於客戶的手機或電腦中,最後獲得該客戶ID和密碼,直接登錄網站。

如果所獲取的ID和密碼並不是普通使用者,而是所謂「超級用戶」(即系統管理員),駭客就幾乎可以接觸並下載所有客戶的資料。

再者,駭客還可通過已掌握的系統基本資訊(如系統軟體的版本等等),或經過測試找出網站或系統漏洞(譬如Zero-Day),然後利用漏洞直接從資料庫(Database)竊取資料。

需企業自上而下努力

即使目前全球對於「巴拿馬文件」一類的事件尚未有徹底解決的辦法,但對於企業的資訊科技安全風險,還是能夠通過技術手段,在一定成本的前提下把風險減到最低。

在當今科技日新月異,市場環境瞬息萬變,企業的資訊安全無時無刻都可能受到攻擊和威脅時,想要有效地應對企業的資訊安全風險,僅僅依賴IT和資訊安全團隊的一己之力是獨力難支的,它更需要來自整個企業自上而下的統一文化和動力:包括投放更多的人力和物力、高度重視企業現有IT和資訊安全功能、提升基礎設施的建設和經營模式的控制等等。如此,企業才可以通過種種途徑,減少因資訊安全洩漏對公司聲譽帶來的潛在風險。

一般的國際標準,都建議企業加強檢測(detection)、識別(identification)和保護(protection)機制,以減少資訊安全的風險。然而就在2014年,摩根大通被曝8000多萬賬戶資料被盜,且追查出駭客已在該銀行內部網路潛伏多年。

面對此情此景,我們不僅要問,如摩根大通般擁有逾百人資訊安全團隊的全球性公司,駭客竟能在不知不覺間肆意妄為,那麼普通企業該如何防禦駭客的攻擊?因此,除了一般的國際標準所要求的流程和工具,企業可考慮通過加強有關企業「內部威脅」的檢測和分析,通過滲透測試來檢測系統安全的漏洞,以及更有效地收集和分析更多的資訊安全資料,進一步防「黑」。

No comments: