台灣資安問題面面觀
有關資安的事件層出不窮,相關新聞報導不斷,吉瑞科技總經理邱春樹指出,目前常見的資安威脅種類繁多,包括網頁安全、資料外洩、P2P軟體、釣魚式垃圾郵件、即時通訊等,甚至影音檔案都可能含有惡意程式連結或程式碼,可以說是防不勝防。
對個人而言,資安威脅可能會造成上網頻率降低,降低網路交易的慾望,如果個人私密資料外洩,就可能造成更嚴重的損失,如果電腦被控制,成為攻擊他人的工具,不但親朋好友可能因此受連累,也可能為個人帶來許多無謂的困擾。
而對企業而言,資訊安全威脅不但可能造成資料外洩,導致商業機密流出,影響企業競爭力,還可能造成商譽受損,或衍生交易糾紛,影響企業運作。
資安威脅防不勝防
邱春樹指出,企業如果要有效防護安全威脅,需要進行的步驟包括,即時更新安全修補程式、即時更新防護軟硬體的特徵碼、建立使用者的資安認知觀念、資安管理人員要了解資安技術及威脅,而管理階層更要有重視資安威脅的基本觀念,而最重要的是,企業必須培養資安專業分析人員。
為了確保資訊安全,企業往往會安裝各種防護軟體,包括防毒軟體、防火牆、入侵偵測系統、入侵預防系統、網頁應用程式防火牆、行為偵測軟體、網頁信譽評等軟體等。
但邱春樹指出,目前的防護軟體的偵測率愈來愈低,主要的關鍵在於許多惡意檔案的變種太多,如透過加殼程式(Packer Program)壓縮、透過產生器生成檔案,加上惡意程式開始使用隱匿技術,導致傳統用特徵碼的偵測方式,已經無法有效處理每日收集到的惡意程式樣本數量。
因此,邱春樹認為,要讓防護軟體真的能有效防止資安威脅,必須要有能讓管理者手動建立客製化特徵碼的機制,其他功能還包括檔案格式過濾(File Format Filtering)、URL過濾(URL Filtering)、重要系統檔案保護機制、檔案或目錄防寫機制等。
資安人才及防護意識不足是最大隱憂
但邱春樹認為,台灣資安問題的核心關鍵,還是在於許多相關單位沒有資安意識,如企業高層對於資安的認知不足,法規也落後新進國家太多,以至於企業可以規避責任問題。此外,目前的資安市場主要是以政府及教育單位為主,但邱春樹認為,目前的標案制度,讓參與業者會以低價競標,而非以技術專業取勝,自然比較無法防止資安事件發生。
此外,本土資安研發公司嚴重不足,企業也缺乏資安事件分析人員,更是台灣資安問題的最大隱憂,因為如果不能真正了解完整的資安事件過程,只是在資安事件發生後,匆匆忙忙的採購軟硬體設備,未必能真正有效的對症下藥,自然也就很難避免類似的資安事件再度發生。
預防勝於治療
邱春樹表示,使用者也必須提高危機意識,建立正確的資安觀念,企業也必須積極針對員工,進行資安認知教育訓練,如果能與考績結合,並進行實際模擬演練,效果將會更好。
但關鍵還是在心態,如果企業始終存著「不會這麼倒楣」的心態,總是等到資安事件發生後,才會開始重視資安,其實已經是緩不濟急,唯有落實「預防勝於治療」的觀念,才能真正做好資安防護。