網路資訊/資料外泄災難漏洞止不住
作/艾裡卡
IT人員必須瞭解每一個專業的安全步驟,試圖減輕資料外泄帶來的影響,並且避免日後相同的情形一再發生。
在Ponemon Institute年度報告裡一直想要找出資料外泄究竟讓企業與個人付出多少代價,在此議題上Ponemon Institute已投入了5年之久。該報告建立了一個標準,其中包括法律上的罰金與通知客戶等直接成本,還有客戶翻臉、生意流失等間接成本。
2013年,Ponemon指出,每筆資料外泄的成本平均算下來大約是136美元。他們估計,資料外泄在美國的成本大約是每筆188美元;如果是惡意犯罪攻擊,例如網路駭客或內部竊賊的話,這種外泄的成本每筆高達277美元。
這類指標揭露了一些事實,不過衆所皆知,某些類型的資料外泄肯定會造成更巨大的損失,例如公司智慧財產外泄、技術機密外流,或在公司發動併購前相關資訊早一步曝光。
製造業供應鏈可能會因爲資料外泄而受到影響;客戶資料可能被偷,而很多時候下手的是第三方承包商,而非直接有關的生意對象。
另外,智慧財產外泄因素通常不會被列入外泄成本計算,因爲其衝擊實在太難衡量,而且事件已經超出法律監管範圍,因此經常未被公開。
不過,瞭解這些隱藏或未公開的成本,並注意到可能的威脅之後,公司可以做好準備,來面對資料外泄與復原問題,同時擬定合理的預算來降低風險,免得付出不必要的代價。
資料外泄潛在的影響
究竟是哪些資料遭外泄?又是如何外泄?要拼湊出這些事實,需要調查成本,同時還會中斷生產,相關損失究竟有多高,IT人員其實也沒有定論。
資安顧問公司Bishop Fox分析師Vinnie Liu直言,「其實最大的成本,就是喪失生產力;不只是IT團隊受影響,所有牽涉到受損系統的人都被牽連,特別是那些關鍵系統。這就是骨牌效應,而且當事件發生後,會產生巨大的乘數效果。」
Ponemon與其它單位計算後,許多已知的重要成本,包括知會受害客戶與企業合作伙伴、支付信用監察與受害者身份還原,僱用更多人來處理客服電話,這些都是構成資料外泄總成本的要素。其它可能的成本包括法律調查、訴訟、商譽損失與客戶流失等,都會造成所謂的「品牌傷害」,成本難以估算。
RSA Advanced Cyber Defense資深總監Peter Tran認爲,最常被忽略的成本,就是「組織性的傷害」。這種疲勞性因素的產生,通常出現在連續幾個月的泄密調查之後,大家疲於檢查登錄資料、搜查可能的嫌疑人、更改基礎設施、還要與律師及通訊專家打交道。各種資安手段都變得沒有效率,因爲IT團隊已經累垮,無法主動做任何事。
讓公司付出慘痛代價的,不只是因爲智慧財產遺失導致技術規格外流;如果公司的競標資料、設廠資訊或是海外事業計劃外流,這些都可能造成公司嚴重的損失。
資料外泄事件也經常導致公司延宕其創新計劃,尤其在科技領域特別明顯。他們必須搞清楚究竟遺失了哪一項智慧財產?還有是如何遺失的?否則他們無法繼續投資相關計劃。Tran表示,要繼續投資這個創新確實很難,因爲現在還要考量到各種經濟與市場的因素。
提早預防勝過事後彌補
如果相關攻擊一直沒有被發現,那麼資安外泄造成的傷害只會更嚴重。假使攻擊者的目標是要竊取客戶資料或智慧財產,通常他們會從小處着手,透過釣魚攻擊或網路攻擊,利用惡意軟體切入某個端點。
成功入侵後,攻擊者會開始擴大他們的系統權限,把觸角延伸到其它系統,在所有系統上建立多個後門,讓他們可以持續進出該系統。「最重要的是,這個時間拉的越長,入侵者就越有可能過濾出該公司的『獨家秘方』,」Ernst & Young網路入侵暨弱點服務負責人James Phillippe說道。
如今,許多資安外泄事件的時間長度是以「月」計,而非以分鐘計算。2013年Verizon RISK TEAM的「資料外泄調查報告」(Data Breach Investigations Report)發現,2012年有66%的外泄事件是過了好幾個月才被發現,這比2010年的41%明顯增加;而且,其中約有70%的事件並非受害公司自己發現,而是第三方組織,例如商業夥伴或警方。
許多公司無法快速找出資料外泄的主要原因之一,在於他們的網路流量沒有足夠的能見度,也缺乏足夠分析。如果有的話,一般公司可以把個別攻擊事件拼湊起來,讓他們研判整個系統是否已經被駭。
Phillippe表示,「很多公司總是在事件發生時纔開始打地鼠;他們清除了惡意軟體,然後趕快讓主機恢復運作。這種反應模式恐怕治標不治本,他們只處理了惡意軟體問題。」
Phillippe認爲,要快速發現資料外泄並迅速回應,其實有3個關鍵。首先,公司必須有健全的資產管理系統,讓他們可以辨識所有網路內的裝置,並設定裝置的行爲規範,如此才能快速找出異常狀況。
第二,經過仔細設定的資安、資訊與事件管理系統是「安全運作中心的核心」,這樣才能拼湊出事件的全貌,顯示究竟這起攻擊事件是因爲哪些異常狀況所造成。
第三,威脅情報服務可讓公司掌握攻擊者的背景資料,這些服務提供整個產業的攻擊模式與其它公司面臨的狀況,讓公司可以注意到某些跡象,然後早一步提防。