企業資安走向M型化發展,想打造0罩門,除了依靠AI、發展智能資安以外,企業老板、員工、政府都要一起加入防駭大作戰……
新加坡去年6月底爆發Singhealth醫療系統150萬名病患個資從姓名、生日、地址到身分證號碼及16萬名病患門診配藥資料外洩,當中引起全球嘩然的是駭客目標為新加坡總理李顯龍,經多次嘗試,成功盜取李顯龍個資與配藥紀錄!
隨著以假亂真的社交工程攻擊、釣魚郵件、挖礦病毒盛行,企業「資料外洩」頻率及筆數增加,為資安帶來嚴峻的考驗,而傳統資安工具依照預先制定規則進行防禦的方式顯然已不是對手,結合人工智慧(Artificial Intelligence, AI)及機器學習(Machine Learning)的「智能資安」成為資安新顯學,不過水可以載舟亦可以覆舟,AI也成為駭客犯罪的子彈,駭客與資安系統進入新的諜對諜時代。
「站在防守角度,面對駭客不是技術問題,是人的行為問題,人的行為有太多漏洞讓駭客得以入侵。」投入資安領域超過15年的台灣二版高級產品經理盧惠光剖析,他認為目前國內企業對資安意識呈現M型化的兩極發展,「重視資安的企業沒那麼容易被駭,但同時也很多企業忽視資安,這也是為什麼就整體社會來看駭客會贏的原因。」
#資料外洩人人都有份
盧惠光表示,目前資安發展有2個主要趨勢,一是資料外洩次數與筆數越來越多,二是OT資安威脅增加。他指出,「2019的上半年,國際上資料外洩筆數累計高達41億筆,而全球人口約77億,估計今年底已知的資料外洩筆數會超過全球人口數,平均下來大家都有份,也就是資料外洩是所有人都遇得到。」特別是當企業導入自動化、大數據(Big Data)、AI,或將海量資料存放在雲端,若發生資料外洩,情況就很嚴重。
OT或工控系統被勒索病毒綁架的案例也越來越層出不窮,從車廠、高科技製造業、電廠到辦公大樓都在駭客狙擊射程內。盧惠光說,「工廠為提昇產能、降低成本,導入AI,將IT與OT整合起來,但過程中未注意資安架構,再加上OT資安成本較高,當企業已投入預算推動自動化或AI,未必願意再投入資安領域,造成安全缺口;而OT對工廠而言非常關鍵,若被勒索病毒找上,願意付贖金的機率相對較高。」
另外,盧惠光指出,現在商辦大樓電梯、空調、燈光控制透過「監視控制與資料擷取(Supervisory Control and Data Acquisition, SCADA)」系統管控,之前曾發生某大樓SCADA被駭,要求支付比特幣贖金,類似案例會越來越普遍。
#AI幫忙抓可疑怪客
因應資安威脅不斷上升,加上AI運用日益普及,「智能資安」應運而生。盧惠光笑說,現在連煮飯的電鍋都用AI,需要大量過濾資料的資安也升級為「智能資安」,運用AI、機器學習技術進行預防、偵測,可節省許多人力及提早發現異常。
盧惠光進一步解釋,防毒軟體的做法是攔阻資安威脅進入企業系統,但百密必有一疏,當病毒躲過防禦進入企業系統後,需透過「偵測」發現病毒隱藏地方,在未釀成大禍─勒索、「被」挖礦或更嚴重的資料外洩前,及時排除。
「系統紀錄(Log)查看」是偵測系統內是否藏匿資安威脅的基礎,盧惠光指出,「雖然使用者行為難以預測,但透過機器學習,AI可進行使用者行為監控及分析,判斷這些網路行為是使用者正常行為,還是異常程序透過上網行為將資料傳輸出去;雖然資安人員可以快速檢視,但確認幾百萬筆資料還是需要時間,AI能協助快速抓出可疑資料,再經由人為判斷,以快速反應解除危機。」
去年發生新加坡總理李顯龍病歷被駭一事,盧惠光表示,事件曝光也是由於管理資料庫的人看到一些不正常的Log,追查後才發現李顯龍病歷資料已被抽走,「過程中是有機會找出問題所在的,這也是為什麼需要運用AI協助偵測的原因。」企業委外廠商管理是資安漏洞來源之一,若對外包廠商維管人員管控不當,可能就引狼入室,盧惠光舉例說明,「若企業有100家合作廠商能接觸公司內部系統,實務上企業很難發現是否有廠商IP遭駭客或競爭對手使用,但AI能透過發現異常行為解決系統配置上的問題,在攻擊發生前提前修復不該存在的設定,做到一定程度的預先警告。」
對於智能資安發展,盧惠光認為「目前機器學習無法取代人,且需要仰賴人提供資料,建立學習模組及最後交由人為判斷,將來AI若進展到深度學習(Deep Learning),如同下棋的AlphaGo一樣,那就相當強大,可以自主學習,也能主動發現公司設定漏洞、主動修復,若遇攻擊也會自動反應處理,到時甚至可能取代大部份人的工作。」
#駭客也進入AI時代
不過,智能資安的對立面可能就是智能駭客。盧惠光說,「防毒軟體、作業系統會不斷更新,駭客尋找弱點進入系統的瞬間是困難的,所以需要很多工具、花很多時間,但現在駭客也用AI製作攻擊工具或惡意程式碼(Payload),讓病毒或木馬更有智能,避免被防毒軟體掃到。」
這兩造的AI戰役,彼此消長情況為何?盧惠光坦承,「目前還是Bad Guys(壞人)在贏」,但不是贏在技術而是「人的行為問題」,很多攻擊是通過e-mail夾帶有害連結,若沒人點擊、下載檔案就沒事,但總會有人點開潘朵拉的盒子,打開資安大門,放駭客登堂入室。
談到目前國內企業對資安的防禦態勢,盧惠光觀察到,「很多企業資安防禦還不完整,整體呈現M型分布,M的其中一邊是資安做得很好的大型公司,另一邊則是能不做就不做,中間的企業較少。」
盧惠光說,重視資安的企業IT團隊會進行紅隊演練、滲透測試及對全體員工進行資安教育訓練,管理上則會監控公司電腦,在這樣的環境下,員工不會使用公司電腦及e-mail處理私人事情。相較之下,不管控資安的公司,員工可能會用公司電腦上網逛拍賣、追劇、玩遊戲,增加許多資安風險,「員工的心理就是老闆重視我就小心一點,老闆不重視我就隨意一點。」
*紅隊演練 (Red Team Assessment) 是在不影響企業營運的前提下,對企業進行模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行攻擊,嘗試達成企業指定的測試任務。
盧惠光強調「資安」不單是預算問題,更多是公司文化及管理態度,「老闆可能願意花4萬元買一台性能很好的筆電,但怕電腦速度變慢就不裝防毒軟體,但筆電裡面承載資料值多少錢,只有丟失時才知道,就像空氣一樣,等不能呼吸就知道空氣多重要。」
#資安保護數位資產
「不少企業對資安抱持『賭一把』的僥倖心理,除非自己遇到或火燒到隔壁才意識到。」盧惠光很感慨,他可理解企業對於把費用投入發展看不到、摸不到的資安而感到兩難,「但資安應該跟實體安全一起看待。相信沒有一家公司可以接受大門沒鎖、窗戶沒關,但公司沒設防火牆就相當於大門沒鎖。」盧惠光指出企業在實體世界會考慮消防、門禁安全,且消防系統每年都會巡檢,確認消防物品、滅火器是否使用期限內,但資安工作卻不一定會做到這程度,「我們現在已到實體安全與IT安全一樣重要的時代,要把數位資產當成有形資產。」
特別是現在網路圈套很多,盧惠光說,「可能駭客偽裝成外包廠商發e-mail通知更新重要程式,且設計真實Logo頁面,員工一時不察點下去就中計了。」他認為,這些釣魚郵件或社交工程就像詐騙集團,先設計情境讓對方信以為真,之後就容易被帶著走,「人都會有弱點,如睡不飽、心情不好時會專注度降低,容易做出錯誤的決策,這也是為什麼星期一是最常發生中毒的日子。」
盧惠光相信,公司正常運作必須實體與網路兩端都是安全的環境,「要投資多少費用在資安這是商業決定,但老闆重視資安的程度會影響員工的行為、習慣、資安文化,這才是最關鍵的,也不是花錢就可解決的。」
#用教育培養資安DNA
對於不重視資安企業的解套方案,盧惠光認為最終還是需要由政府制定法規,「政府制定資安規則、要求,企業就會跟從,歐盟去年開始生效的GDPR就是例子。」GDPR適用於與歐洲生意來往任何地區的所有企業,影響範圍很大,罰款金額最高為全球總營業額4%。
盧惠光解釋,「GDPR可理解為對重大資料外洩的回應,要求企業需更好保護客戶資料,確保每家企業最少做到加密,被偷走的資料加密與未加密相差甚遠,增加對大眾的保障。企業就是要合法賺錢,最能影響老闆資安作為的還是法規。」
對於千變萬化的病毒陷阱,盧惠光認為做教育訓練約可減少10~20%上當的機率,因為「成年人行為很難改變,大部分人上勾都不自知,特別是當自己很忙或遇到沒見過的變種形態時。」若要培養對抗駭客的DNA,盧惠光提議從孩子教育開始,特別是現在孩子從小使用各種數位工具,「資安教育應該就像環保教育一樣,從小教起,這樣才能變成他們認知的一部分。」
我們生活的世界正走向「不斷自動化」,未來公車及其他公共設施、服務會逐漸聯網、自動化,這是否等於給駭客一個超級舞台?對此盧惠光表示不用想得太可怕,「很多人努力當駭客,同時也很多人為安全而努力,自動化社會的資安架構會更深入,理論上是越來越難駭進去;現在資安還在發展階段,未來相關法規上路,M型資安社會也將往鐘型發展,到時具備一定程度的資安意識與機制就是占多數的主流。」他認為可用實體安全概念看待資安發展,「如同飛機、汽車現在都相當安全,但還是會發生事故、意外,只是跟過去相比意外越來越少,資安也是一樣道理。」
#5點快速看資安風向
1.目前趨勢:資料外洩嚴重、對OT威脅升高
2.AI資安:可迅速大量排查威脅,未來深度學習後有取代人類的可能性
3.百密一疏:「人」依然是駭客最大突破口
4.老闆要帶頭:企業領導者越重視資安,組織內的氛圍才帶動得起來
5.破解M型資安社會:政府應訂法律強制推廣,同時扎根於學校教育
*原文出處:能力雜誌<第764期Oct. 2019>_封面故事 延伸篇
