本文出自

擴增實境:大賺數位財

擴增實境:大賺數位財

2017年11月號

打擊駭客三部曲

Limit Cyberattacks with a System-Wide Safe Mode
克勞斯.賀伯茲漢姆 Claus Herbolzheimer
瀏覽人數:5044
  • "打擊駭客三部曲"

  • 字放大
  • 授課文章購買
    購買〈打擊駭客三部曲〉文章
  • 個人收藏購買
    購買〈打擊駭客三部曲〉PDF檔
    下載點數 10
企業若要領先駭客的入侵新技術,就必須採用配備智慧型機制的分散式網路安全架構……。

網路攻擊事件,估計每年對企業造成的破壞高達五千億美元。它們能對企業造成這麼驚人的傷害,主要是因為今天的網路安全系統,使用集中式監控,在主要防火牆之外,幾乎無法保護組織的其他部分。因此,當公司遭到駭客攻擊,資訊科技團隊需要花好幾天來隔離受影響的系統、排除惡意程式碼,並恢復業務運作。等到他們確認、評估和解決遭駭事件,惡意程式碼通常已幾乎不受任何限制地蔓延到任何連結的系統,或甚至只是稍有相關的系統,這給駭客更多時間,取用敏感性資料,並造成運作失靈。

為了走在新的入侵技術之前,企業必須採用分散式的網路安全架構,配備智慧型機制,能自動切斷受到破壞的系統,或是預設為「安全模式」,讓它們降低運作水準,直到網路攻擊的影響受到抑制和改正為止。就像核能發電廠等高風險場址的一般安全系統,企業需要多層的備援安全機制和模控系統(cybernetic control system)。目標應該是創造一些「氣袋」(air pocket),沒有直接或間接的網際網路連線,以保護極為重要的設備和網際網路連線裝置。

每家公司的網路安全計畫都有獨特性質,但這個分散式架構有幾個根本要素,能協助企業移轉和消減攻擊者的力量均勢。

偵測

即使是最專業化設計的網路架構,如果不能偵測和了解它面對的威脅,就沒有作用了。企業目前面對更多網路病毒爆發,因為它們往往連偵測這些情況都做不到,等到發現時已經太遲了。今天建立的網路安全系統,可偵測以前確認的惡意程式碼和惡意軟體。但網路攻擊變化得十分快速,因此難以預測威脅的形態。

為確認和減輕演變中的新攻擊情境,安全系統需要搜尋異常狀況、分析它們是敵意行動的可能性,並納入持續擴大的可能性清單。這種偵測水準,應在許多不同層級的組件裡執行,以涵蓋連結到網際網路和實體環境的眾多裝置與系統組件。這些整合起來,形成好幾層的控制系統,以找出未知的和新形式的攻擊,做法是比較它們已知的未受損正常狀態,不但自行做比較,也結合其他系統來做比較。

這些系統並不是回應一組定義好的指標,而是偵測和因應資料流當中不合常規的情況,包括資料數量、類型、起源或時機的任何不規則情況。舉例來說,為決定是否應將某個人擋在線上銀行帳戶之外,有些銀行的網路安全系統開始使用人工智慧技術,比較人們通常是如何打字或使用電腦滑鼠的。

降低傷害

接下來的步驟,是要獨立啟動一個協定,把可能受損的系統下線、切斷它們與其他極為重要的設備之間的連線,或是將它們鎖在安全模式之內,以便盡量減少遭到攻擊的影響。目前的網路安全系統,如果確認遭到某種特定的攻擊,通常會觸發警報。但系統會繼續運作,並與其他系統通訊,直到資訊科技團隊關閉它們,並矯正機能失靈。

安全性設計

最後,所有公司的產品最終都會成為安全性設計(secure-by-design)。到目前為止,企業在產品開發階段,似乎不太理會網路安全。這種情況必須改變。駭客已能從遠端進入和控制一切,從連網電力「智慧電表」,到監視器都包括在內。2015年,克萊斯勒(Chrysler)兩位網路安全研究人員證明可透過網際網路,從遠端操控吉普車(Jeep)的數位系統,於是宣布召回140萬輛汽車。2016年在德國,犯罪份子進入並從遠端關閉許多家庭用戶的網際網路路由器,造成約一百萬戶家庭短暫無法上網。美國食品藥物管理局(Food and Drug Administration)警告,與醫院網路、其他醫療裝置和智慧型手機連線的醫療裝置,例如植入式心臟監視器,現在面臨受到遠端干擾的風險,例如可能耗竭電池的電力,或是導致不適當的心跳或休克。

企業需要建立銷毀開關(kill switch)、安全模式,並在開發階段加密到它們的產品中。這不只是保護公司的系統,也保護顧客的系統。舉例來說,蘋果公司(Apple)安裝好幾層的資料加密在自家產品中,只允許顧客在他們的裝置上運作蘋果批准的軟體程式。應該要讓這種做法成為所有產業的標準作業程序。

要制止網路攻擊,絕對不是便宜或容易的事。開發分散式、智慧型的網路安全系統,可能是斷斷續續的,要讓各種裝置透過嘗試和錯誤,學會不要對誤判為真的攻擊作出反應,也避免不必要地太常進入安全模式。經理人必須展現領導力,因為大部分顧客仍不知道,網路風險已升高到對他們擁有的產品構成威脅,因而可能對一些小毛病和延遲感到不耐。好消息是,已經有技術可讓優良的網路安全成真。分散式、智慧型的系統,可大幅降低網路攻擊的風險,並把傷害降到最低。如此可節省大量金錢。

(羅耀宗譯自2017年5月17日HBR.org數位版文章)



克勞斯.賀伯茲漢姆 Claus Herbolzheimer

奧緯集團(Oliver Wyman)數位與策略性資訊科技實務合夥人,派駐在德國柏林。


本篇文章主題技術