在數位轉型的浪潮下,企業不可輕忽的資安議題
產品處 產品經理 王筱雯
數位轉型改變企業工作型態
在數位轉型的世代,企業間的溝通方式越趨多元,也間接改變了員工的工作方式,不僅 BYOD(Bring Your Own Device)已是常態,甚至部分企業逐漸開始招聘遠端工作者。在求新求變的商業環境,各大企業都在找尋以更有效的方式體現產品價值與服務。以家家戶戶巷口的便利超商為例,從 1980 年開始推廣 24 小時不打烊服務,到如今的各項代收、到店取貨及一杯現磨咖啡。在四通八達的數位世界,超商藉由數位創新、成功整合線上線下,提供民眾即時便利與一站式的貼心服務。這不僅是超商跨出的一步轉型,更是現代企業在面臨數位化世代需思考的課題,若想提升商業地位,擴大品牌知名度,便須開始著手規劃。
數位轉型所面臨的隱憂
數位轉型是一件大工程,這不僅代表原有流程將被異動,更衝擊企業過往所訂定的資訊安全條規。隨著資安事件頻傳,資安議題仍不斷延燒,「資安安全」嚴然成為企業在轉型道路上面臨的阻礙之一,企業該如何在數位轉型的道路上同時兼顧「資訊安全」?
本篇將帶給讀者以下因應策略參考:
在企業實施數位轉型時,須同步評估如何保障內部資料安全性,包含:Web Server、Database 以及 Email…等,若因流程改造產生疏失,導致內部或客戶資料的外流,甚至引來駭客惡意攻擊那就得不償失了。以往的資安防護習慣是建置私有雲,以內外實體隔離方式將可能產生的資安漏洞降到最低,然而現今的資安氛圍已不再是企業各自單打獨鬥便可高枕無憂的狀況。
近幾年來越來越多企業願意嘗試採用雲端軟體服務,在 iThome 2016 年 CIO 大調查發現,有近六成比例的企業使用雲端服務。企業積極走向雲端,不外乎重視雲端的擴充效益、節省成本以及可獲得更高端的維運架構,原本需投入的多項成本,包含:軟硬體建置、授權處理到採購後的系統維運及定期升級,在雲端服務內不僅享有費用的分期攤提,降低一次性開銷外,更能降低 IT 人員在資安管理上的負擔。每間企業必備的電子郵件或 Gateway 伺服器,也逐步朝向雲端代管服務的趨勢,尤其以反垃圾郵件相關的系統服務更適合導向雲端化,且更能發揮資安聯防的防禦功效。
一個可靠的雲端軟體服務,無論在資料傳輸及系統架構等面向都需建立嚴密的防護措施,以下列出幾項必備的資安防護機制:
採用 HTTPS/TLS 加密連線
為了確保資料在使用者電腦和網站傳輸時,保有完整性和機密性,業界會採用 HTTPS/TLS 加密連線,因為 HTTPS 會透過傳輸層安全性通訊協定 (TLS) 提供以下防護機制。
- 加密:對交換的資料進行加密,防止資料遭到竊取。
- 資料完整性:系統會偵測資料在傳輸過程中是否遭到修改或破壞。
- 驗證:驗證使用者是否與正確的網站進行通訊。
採用 HttpOnly 機制
在瀏覽網站時,瀏覽器會將使用者資訊儲存在 cookie 上,當日後再瀏覽該網站時,網站就可根據 cookie 內容提供符合使用者需求的資訊,cookie 可用於儲存各種資訊,包含姓名、電子信箱、電話及住址等。Cross-Site Script(XSS)是最常見的攻擊手法之一,此手法是透過存取使用者的 cookie 以獲得機敏資料。當網站採用 HttpOnly 機制時,瀏覽器會限制 cookie 只能由 HTTP(S) 協定來存取。如此一來,即使該網站有 XSS 弱點,攻擊者也無法直接經由 JavaScript 存取用戶的 cookie,進而降低用戶身分被盜用的風險。
緩衝區溢位保護機制
緩衝區溢位(buffer overflow),是針對系統設計缺陷,輸入超過緩衝區限制的資料大小,進而破壞程式執行,趁著程式中斷之際取得系統的控制權限,無論在 Windows 或 Linux 的應用程式上,都曾發現這一類的安全性漏洞。緩衝區溢位保護機制,可防止使用者或程式取得最高權限,透過這種防範措施,用戶不僅能對所有溢位攻擊進行高強度防範,還能確保現有系統持續執行。
運用雲端控管機制,掌握企業資安動態
- 影子 IT(Shadow IT)一詞,泛指企業內部使用未經IT部門授權的程式或服務。根據思科雲端消費服務(Cisco Cloud Consumption)統計資料顯示,企業內部影子 IT 比重逐年增加,這也造成企業資安控管的隱憂,企業用戶應積極正視影子 IT 所帶來的影響和衝擊。首先,須建立內部員工資安防護觀念,接著再透過外部控管機制,才能有效降低風險。以企業雲端郵件服務為例,可依據企業政策提供不同控管服務,以下列舉實務上常見的控管機制:
- 偵測收件網域:限制寄送網域,避免信件寄給不必要或錯誤的收信人。
- 大量外寄防護:限定網域最大發信數量,避免帳號被盜用濫發信件。
- 外寄流量管制:管制發信頻率,維護信件發送品質。
除了各種控管機制外,監控通知報表也是控管服務中不可或缺的一環,管理者可即時掌握系統異動,並加以追蹤與防範:
- 系統稽核感知報表:偵測系統異動或權限變更,預防被植入後門程式。
- 資安管理監控報表:針對帳號授權,每日定期檢查並提供異動通知。
- 稽核統計報表:顯示稽核信件排名及統計資訊,並與前期比較差異。
- 垃圾信統計報表:顯示可疑信、病毒信及廣告信的統計與比較分析。
在數位轉型的趨勢下,為了兼顧企業組織的競爭力與安全性,可導入已調校好及具有基本資安防護的雲端服務開始。且雲端服務可能會提供管理者更多的資安管理工具,例如監控報表功能、密碼強度控制等,在不過於限制使用者的前提下,可透過管控機制落實資安政策。另外,即時稽核重要資訊也可有效幫助管理者掌握最新資安動態,是企業最易導入的方案之一。