資訊安全

2017/05/05 18:00:00Kshini

近幾年各國資安問題不斷地爆發,加深了大家的重視,最明顯的例子就是SSL憑證加密技術被大量引進,各大系統商(如Google、Firefox和APPLE等等)也在2016年底陸續宣布將會強化https網站在瀏覽器裡的地位以及明確標示出不安全的網站。但這樣真的就夠了嗎?

現任的美國聯邦調查局(FBI)局長James Comey曾說過:「世界上的企業分為兩種,一種是被駭客入侵過的;另一種則是被入侵卻不知道的。」

 

“世界上的企業分為兩種,一種是被駭客入侵過的;另一種則是被入侵卻不知道的。”

 

根據過去的經驗,超過90%的駭客都是由「端點裝置」發起攻擊,我們能做的第一件事就是好好檢視自己使用的主機系統是否安全,安裝SSL憑證確實是一個經濟實惠又方便的做法,但更重要的是我們(公司)使用的系統是否能跟上時代的演進,作業系統每過一段時間就會更新以提供更強大的功能,同時也是為了防禦日益精進的攻擊技術。

 

“孫子兵法有云:「勿恃敵之不來,恃吾有以待之。」”

 

實務上的經驗告訴我們,其實企業主們並不是完全不了解資安防護的重要性,但更新系統所需要花費的成本考量是非常實際的議題,大多數人會將就著使用舊系統,這完全考驗著MIS人員的功力還有自己平時燒香做好事累積的福氣,我們的建議是「至少將系統更新到2003年(含)以後的版本,因為現行主流的加密演算法為SHA 256,並且只有2003年以後的伺服器才能支援,舊型的伺服器所使用的SHA 1演算法已經被證實為可輕易破解的,故自2016年以後,SHA 1的加密方式已經被全面捨棄。

 

“從基本開始,不必花大錢也能做好資安”

 

比起撒出大量銀彈購買資安軟體甚至聘僱資安團隊,其實「改善內部作業流程」才是最基本必須注意的,很多時候都是公司便宜行事或是沒有依照既定的SOP來作業,才導致個資輕易外流,最常見的是將客戶資料大喇喇地擺在桌上,或是在銷毀客戶資料時不確實,例如直接丟進資源回收桶裡,公司內部一定要嚴格要求並提供專業教育訓練,只是一味地砸大錢卻讓隱私資訊從這些小地方外洩,豈不是本末倒置嗎?談完制度面的問題,回到系統面就是很現實的考量了,我們還是建議撥出一些經費,至少讓系統升級到2003年以後的版本,才能支援現行的基本防禦技術,畢竟現在都2017了,不是嗎?

頁面