科技罪案近年為全球企業帶來巨額損失,根據香港警方的數據,2018年香港企業因科技罪案而損失的金額也達到27億,比2017年上升超過1倍。作為IT人每天需要絞盡腦汁為公司網絡設立銅牆鐵壁提高防護,但過去的事例證明即使IT預算非常充裕的大企業,依然被成功入侵做成嚴重的資安事故,到底他們忽略了甚麼?
資安戰場不止在邊界防護
傳統的防護措施,主要針對堵塞網絡上的漏洞,對抗外來的威脅。部署防火牆、端點防護、甚至進階的APT防護等,均是用於攔截由外而來的入侵,這些措施所忽視了的,就是由人員從企業內部帶來的風險(Insider Threat)。之前發生的大型資安事故,其實很多時都涉及內部風險,說的並不是預先安排間諜人員進入目標企業這等電影情節似的攻擊手法,而是因為內部人員的安全意識不足,無心的危險行為而為網絡罪犯打開了入侵的缺口。
經常會帶著公司電腦出差的員工,可說是當中最高危險性的一群,以下就和大家看看出差途中的5個會為公司網絡帶來危險的行為。
1. 連接不安全Wi-Fi
根據ObserveIT訪問了1000位去年曾出差的人士的調查指出,77%受訪者表示他們會在旅途中會連接公共Wi-Fi,而有63%更表示會透過公共Wi-Fi處理工作電郵及檔案。機場、咖啡店等提供的免費Wi-Fi雖然十分方便,但安全不足的公共Wi-Fi可能被罪犯用作偷取資料,甚至入侵企業網絡的跳板,更別說有些「免費Wi-Fi」根本就是罪犯偽裝的誘餌!要避免此類風險,需要對僱員提供使用Wi-Fi的安全意識,同時只允許通過VPN連線企業電郵及工作檔案。
2. 使用未授權的USB裝置或外置儲存媒體
外置儲存媒體,例如最常見的USB手指,是最令IT管理人員頭痛的裝置之一。出差員工參加展覽或會議時經常會收到USB手指紀念品,但是這些來歷不明的裝置可能預載了惡意程式,先感染員工的電腦繼而進入企業網絡。除了帶有惡意程式外,管理不當的外置儲存裝置也存在其他風險,例如商業間諜可輕易於公司內透過USB取走公司的資料。
3. 使用電腦裝置時的疏忽
員工粗心大意遺失電腦、智能裝置,或任由裝置無人看管隨意放置,一直是做成資料外洩的主要原因。根據ObserveIT的報告,最少四分一受訪者表示曾經將工作用的電腦放在公眾地方,而且無人看管,讓犯罪者有機可乘,取得電腦的控制權。另一種疏忽是員工使用個人裝置工作,讀取公司電郵或工作檔案,個人裝置一般安全防護較為不足,也可能帶來公司網絡被入侵的風險。
4. 不使用VPN傳取企業網絡
報告亦指出謹有17%受訪者表示,在出差時會使用VPN連上企業網絡。雖然雲端服務愈來愈普及,VPN的重要性似乎相對下降,不過配置正確的VPN依然是從外部傳取企業網絡內部資料的最安全方法。VPN不但能加密傳輸的資料,也能讓IT管理員持續監察外部連線,加上如ObserveIT一類的活動監控方法,可更全面地找出可疑行為。
5. 員工忽視安全守則
大部份員工並不會特別注意公司定立的網絡安全守則,而有些企業也沒有訂立出差同事應注意的網絡安全事項,因此員工可能做出高風險行為。企業應該適當訂立各種情況下的網絡安全政策,並確保定時提醒員工相關守則,減低風險,也應定時讓員工回饋意見,改善相關政策。
總結
企業即使配備了強效的防護措施,如果員工行為不當,再強的防護也不能阻斷網絡攻擊,除了加強對員工的安全意識陪訓外,最立竿見影的方法可能是採用對使用者活動監控的方案,即時可見員工進行有潛在風險的行為,亦可即時教育員工,詳細方法可參考ObserveIT的Insider Threat Management方案。
