2024 年
2024-07-26
杜絕資安蝴蝶效應,從不外洩任何一則機密訊息開始
Email165 防詐騙分析中心
蝴蝶效應泛指一個微小的細節,最終有可能導致一個巨大的影響。您是否有發現,近期許多資安相關規範更新,都有對於接收訊息及外傳訊息兩種不同流向的安全強化要求,第一時間或許先感受到的是對於組織機密的外洩防護要求越來越嚴謹,而仔細推敲,相信很多資安先進也能快速發現,做好機密外洩防護,或許也同時能減輕網路駭客攻擊的風險!以下為您們摘要說明三項法規近期重點:
一、個人資料保護法 – 112 年 5 月更新
個資法於 112 年 5 月更新後,罰則加重且不限於公務機關,所以台灣各產業、大型及中小微型企業皆跟公務機關將一同嚴陣以待(註 1)。各產業需依照其事業主管機關規範定義出各組織內的個人資料管理安全維護辦法(簡稱:個資安維辦法)。若未製訂個資安維辦法與實際作為,有可能直接遭罰。資安事件一旦發生後,若限期未改正也可能連續開罰。關於組織需要配合的具體措施包含:員工認知宣導與教育訓練、資安設備更必須與時俱進,例如網路防火牆及電子郵件過濾機制必須適時更新,以達到最佳的防護效果;企業內部個資盤點,避免不當利用及不慎外洩,其中不慎外洩的情況又包含從員工帳號意外寄出或是直接被駭客盜取等情境。
二、ISO27001:2022 – 111 年 10 月 25 日正式發布
從 2024 年 5月 1 日起,ISO27001 開始只驗證 2022 新版,且至 2025 年 10 月 31 日之前,所有已取得認證之組織皆必須通過 ISO27001:2022 認證。(註 2)ISO27001:2022 的新版條文中提及,A8.12 資料外洩防護,組織需做到可偵測以及阻止個人或系統未經授權地揭露和取得資訊。A5.7 威脅情資,組織需取得有用的環境情報,提供對可能造成組織衝擊之威脅風險的認知,以採取適切的緩解方案。組織並應收集及分析與資安威脅相關的最新資訊,並基於這樣的威脅情資產出因時制宜的解決方法。
三、上市上櫃公司資通安全管控指引 – 110 年 12 月 23 日發布
為避免網路攻擊影響產業並配合金管會強化資安政策,台灣證券交易所於 110 年 12 月 23 日發布「上市上櫃公司資通安全管控指引」(註 3),相關規範包含:企業需具備資安防護控制措施,例如防毒軟體、網路防火牆、或進階持續性威脅攻擊防禦措施等。而如有郵件伺服器者,需具備電子郵件過濾機制。另外也需針對機敏性資料之處理及儲存建立適當之防護措施,例如:存取權限的設定、及處理規範等。在此指引當中也很重視帳密安全,對於密碼管理、特權帳號、久未用帳號都要求企業需要進行管理。
回應首段說明,近年來無論是在新聞報導或是實務面案例中,針對性郵件攻擊或是進階社交工程攻擊事件頻傳,這些攻擊多是帶有詐騙風險的偽冒或釣魚內容,而駭客們究竟是如何可以撰寫出這麼貼近收件人實際工作的情境或關鍵字,有沒有可能跟我們在日常生活中誤觸網路釣魚陷阱有關呢?
組織內部同仁每一次的誤踩小陷阱,並不是無關緊要的,這將可能為駭客曝光許多針對性攻擊的內容素材。「接收安全」與「外發安全」息息相關,兩者一樣重要並可能互相有關。駭客廣撒釣魚郵件取得第一次入侵的機會,駭客入侵獲取機密、也可能再撰寫出針對性攻擊郵件進行釣魚,取得更多機密或帳號權限。
乳酪理論指出嚴重事故的發生,通常是多個問題同時出現(註 4),所以在日常維運面,若能再多增添一些預警機制,能有效率地降低大型資安事件的發生機率。以下接續說明為了減少因為乳酪理論造成的大型資安風險,目前有不少機關組織正在關心的 4 大工作溝通安全機制:
一、機密與個資外洩防護
工作溝通常用的 Email 及檔案分享軟體應選擇有內建「機敏資料稽核機制」的服務,工作檔案存放的位置也應是企業管理者可以管理得到的公務空間,而不是讓員工存放在免費服務空間之中。擔心分享給客戶的檔案有大量個資,可利用「分享前先稽核」的功能,讓有風險的檔案連結立即失效。
二、重視日常維運並留下日誌紀錄
重大資安事件發生前,系統若能留下蛛絲馬跡更有機會提早預知。因此近年來,有許多政府機關或重要企業越來越重視日誌保存,例如日誌範圍及保存年限都有更明確的要求。自 113 年下半年起,政府共同供應契約採購-雲端服務,有明確要求服務需提供應用程式日誌、登入日誌、網站日誌、及作業系統日誌,且至少須保存 6 個月。以便資安事件發生時,機關能更快收集到需要的關鍵日誌,並採取有效補救措施及擬定未來預防方案。可觀察的日誌種類包含:帳號權限異動紀錄、信箱管理者操作紀錄、系統參數修改紀錄、管理介面登入紀錄、安全性功能異動紀錄等。如果系統能定期自動揪出「高風險帳號」提供管理者查驗,則更能提高安全維運效率。
三、定期更新威脅情資以避免組織遭詐騙
個資新法與 ISO27001 皆有要求組織能持續更新最新防護資料庫,以期有效防護相關網路威脅因子。郵件是駭客最易投擲的工具之一,所以郵件防護過濾服務的議題也更加受重視。近期可特別留意郵件 QRCode 攻擊,避免駭客利用員工設定 OTP 綁定裝置等情境,寄送偽冒信件誘騙使用者掃描進行錯誤設定,不慎將機密資訊直接對駭客曝光。而在更複雜的惡意附檔攻擊議題,建議預算足夠的單位可直接採購 APT 動態沙箱防護服務,以提早觀察檔案在各模擬環境下的變化狀況。
四、開始重視「工作即時通」的安全與管理功能
在上市上櫃公司資通安全管控指引,第六章資通安全防護及控制措施的第 27 條,有提出建議需要定義組織內部人員在使用軟體、電子郵件、即時通訊軟體等服務的管控規則。觀察一般企業,目前仍有高比例組織持續在工作應用上使用免費的即時通訊軟體,不僅容易有機密外洩的風險,在功能面上也缺乏所謂的「管理功能」所以也較難遵循規範定義出相關的管控規則。
從源頭做起,建議企業開始採用工作專用的「工作即時通」,不僅減少員工公私訊息混用的困擾、更能專注地讓「工作相關的訊息」都能統一進行管理。例如:
1. 減少機密外洩,限制工作檔案只能在公司 IP 被下載
2. 法規遵循,將工作訊息完善歸檔讓企業電子蒐證的範圍更完整。
3. 聊天室背景顯示帳號浮水印,有效遏阻有心人士透過截圖的方式直接竊取機密。
4. 聊天室管理員機制,持續確認聊天室成員的有效性,避免駭客帳號潛入聊天室竊取專案討論機密。
即時通訊軟體可能是下一個跟 Email 一樣,被重重規範的工作溝通工具,建議提早開始研擬導入計畫。適逢 Line Keep 下線,勢必會有一群使用者面臨將工作檔案搬家的困擾,建議管理者趁此機會引導員工,將工作檔案移到公司專用即時通空間,便於日後符規管理。
因應國際法規或供應鏈需求,有越來越多的中大型企業與跨國組織,也開始採用具有 ISO/IEC 27001:2022 國際品質認證的雲端資訊服務,甚至覺得雲端服務的多元延展性及快速反應力,可以驅動更即時、更安全、並更有生產力的營運效能。如果您是一般企業用戶,想了解上述服務的預算規劃,歡迎參考工作溝通雲套餐優惠網頁(https://www.mailcloud.com.tw/web/suite.html);而如果您是公部門資安負責單位,也想了解上述服務的預算規劃,歡迎參考雲端共契採購說明頁(https://www.mailcloud.com.tw/web/gov_eaas.html),若需要更多資訊,也歡迎直接聯繫專人為您說明。
參考資料:
註 1:個人資料保護法
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
註 2:ISO 27001:2022轉版重點及技術措施解析
https://www.ithome.com.tw/pr/159495
註 3:上市櫃公司資通安全管控指引發布,產業該如何因應
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9775
註 4:瑞士奶酪理論 – 維基百科
https://zh.wikipedia.org/zh-tw/%E7%91%9E%E5%A3%AB%E5%A5%B6%E9%85%AA%E7%90%86%E8%AE%BA