反应太慢、守口如瓶，企业与国家资安盲点怎解？专访CheckP

来自以色列的企业资安公司 Check Point 上週举办了国际年会，我们也直击现场并採访到 Check Point 亚太、中东与非洲威胁预防策略长 Tony Jarvis，以及 Check Point 云端安全暨 IoT 产品总经理 Yariv Fishman，谈谈国家级攻击和 IoT 时代的攻击。

本篇访问到的是 Tony Jarvis，有兴趣的读者也可以参考一下 Yariv  Fishman 的访谈。

在 2016 年与 2017 年都榜上有名的勒索软体，到了 2018 仅佔整体攻击手法的 4%，取而代之的是企业 22% 每週会受到挖矿攻击，以及 33% 受到行动装置恶意软体入侵。

但是既然超过九成的攻击目标都是为了钱，勒索软体仍旧是一项防範重点。Tony 说，勒索软体存在已久并非什幺新鲜事，但 2016 年大规模要求以加密货币支付赎款，为骇客提供了一个比现金、信用卡更难追蹤的管道，因此引起大流行。

再来，Check Point 年度报告显示，加密货币勒赎在亚洲有特别猖獗的趋势。Tony 解读，这并非是亚洲资安技术防範不足。对骇客来说，既然钱是主要目的，当然会瞄準愿意付款又有钱的社会攻击，而虚拟钱包的金额与交易纪录公开，因此可以找出最有效率的攻击区域。从骇客的动机出发，再搭配其他研究佐证，这样的趋势显现的除了地区文化下的行为差异，背后还有亚洲崛起而树大招风的原因。

随着 5G 这项基础建设在 2019 年即将导入商用，IoT 装置普及的时代就在眼前，各种智慧装置运算力弱、规格低，加上没有足够的电量支撑，难以安装及运行防毒软体。

Tony 提出，这些防护措施就得安装在物联装置以外，比如 Check Point 就提供将防护关卡放在智慧装置与办公室 WiFi之间，不论是用软体的 micro agents，或者硬体的 gateway 产品，都可以藉由 Check Point 的服务来配置相应的资安防护菜单。不只 Gateway，Check Point 也有和电信公司合作，从基础建设下手，提供使用者加值的安全方案。

大会开场提到，骇客的攻击动机九成以上都是为了钱，这也是勒索软体到了今年仍历久不衰的原因。

然而剩下的少部分则是非个体户、有组织的数位攻击，Tony 补充这种攻击常见基于政治或商业机密的动机。

当数位攻击拉升到国家层级，使用资讯战能够创造自身优势并製造对手国内问题，为了严加防範，像美国就成立了网路部队。另外也可以针对基础建设系统攻击，造成大规模毁灭。Tony 举例乌克兰就曾经失去整个国家的电力，虽然无法证实是否因资安攻击引起，但如水电、网路系统只要遭到瘫痪都能造成极大的损失。

而以 Check Point 的角度来说，也会在技术方面协助各国政府，提供资安服务。不过事涉国家机密，许多案件不仅对外保密，对内也有许多关键资讯分层封锁，无法透露。

Check Point 也理解这样的状况，并且尽量就能获取的资讯拼凑问题与解决方法。Tony 举例，「为什幺」通常是最敏感的部分，接触的技术负责人经常不能说或者因层级太低不知道。但是什幺漏洞、是不是作业系统没补丁这些通常都可以找得出来。

面对企业资安，问题面向有些微妙的不同。Tony 举例，有些案例中不论是资深的企业或资深的主管，可能对于新技术不熟悉。在企业来说可能是面临跨界 AI、自动车、物联网等新领域，没有产业经验。Tony 认为可以透过参考他人案例，多多阅读以掌握趋势。

而对主管来说可能是非技术主管做决策，所以不了解资安风险的后果。Tony 就学着捨弃技术词彙，用商业的角度分析遭到攻击会造成什幺损失，并且试着「翻译」技术用语，让对方能够理解，这才是最重要的。

另外 Tony 分享在与企业或政府机关沟通过程中，常见主管没有意识到应用多重手法来防範威胁的重要性。比如与外部网路隔离的电脑 air gap就常被误认为万灵丹。然而只要资安意识不足，员工拿着已被感染的 USB 随身碟插进公司电脑而引发灾情的案例其实不在少数。

除了技术上的安全防护关卡，Tony 认为公司领导者还必须了解资安观念，从制度管理面防堵「人」这个资安弱点。他举例，尤其对于像银行这种历史悠久的产业，对安全有严格要求的同时，定下了多重的规範任何决策都得层层上报，反而在系统遭到侵害时无法及时反应。

Tony 根据过去在新加坡银行业工作经验，表示一般状况下 IT 人员要更改系统，从发出请求到真正开工可能长达一週。但若是遭到骇客攻击，滥用漏洞及恶意软体，不用几小时就可以把资料偷走。

因此他建议，儘管大企业必须有严谨的组织流程，但最好还是针对资讯安全建立紧急应变小组待命，一旦有问题就马上修补。虽然即时修改系统有风险，但总比被骇的后果好上太多，只要过程确实留存纪录，修补就算出错也还能够挽回。