2024 年

2024-09-20

---

預防內鬼與外賊：企業資料保護策略與實例探討
產品經理 林怡辰

台灣及國際間企業資料外洩事件頻傳，傳統觀念常將目光聚焦於外部駭客入侵，卻忽略了內部員工所帶來的潛在威脅。企業應如何防止重要資料暴露在陽光下？本文將分析問題原因、常見作法並在最後以 2 個企業實例深入探討。

今年 5 月，芬蘭首都的教育部門因遠端伺服器未修補已知漏洞，導致 8 萬名學生與家長的資料外洩；去年，知名廠商 MOVEit Transfer 因 SQL Injection 漏洞，導致上千家企業資料洩漏。然而，除了外部駭客的威脅，內部員工的惡意行為更是防不勝防。今年 3 月 Google 的中國工程師企圖盜取 500 份 AI 相關商業機密文件之事件，更讓大家意識到內部威脅絕對不容忽視。

許多未受害的企業可能難以想像資料外洩的破壞性，根據 Verizon 於 2024 年 4 月提出的最新報告，猖狂數年的勒索病毒攻擊至今仍為最常見的威脅手段，平均損失金額也從 2023 年的 26,000 美元增至 46,000 美元，最高損失甚至達到數百萬美元。儘管數據上只有 4% 的受害者支付了勒索金額，但企業的名聲、股價、入侵調查的花費、以及後續的修復，才是勒索軟體攻擊對企業帶來的最沉重打擊。

資料外洩的三大原因

根據網擎多年的資安經驗，企業資料外洩主要有以下三大因素：

1. 系統與軟體的安全措施不足：無需授權即可取得內部檔案、資料未加密傳輸、系統漏洞未修補等，導致駭客更容易入侵。

2. 人為疏失：企業員工缺乏資安意識，外部電腦登入後，未於使用完畢登出系統、設備更換或遺失時，未清除內部的企業機敏資料等。

3. 未經許可攜出機敏資料：如未管控內部檔案，員工可能透過未受管控的方式將檔案外傳。如員工透過 LINE、或自己的雲端硬碟將檔案傳給外部合作廠商；甚至為了私利將內部重要檔案攜出。

常見防範措施

企業常見的防範措施包括以下幾點：首先，從架構面改善，如導入政府機關積極推動的零信任架構，旨在提升整體系統的安全性認證；其次，定期修補系統與軟體中發現的漏洞；第三，限制使用者的使用範圍，並制定設備遺失時的補救措施；此外，由企業主動提供檔案交換平台，亦可減少員工將檔案存放在個人平台的風險，再搭配管控內部檔案權限，加強對外分享的安全性，並對機敏資料的分享進行限制，從而達到多層次的防護。

值得注意的是，企業常見的儲存與資料交換機制，如 USB、網芳、NAS 及自建的開源分享平台（如NextCloud），大多無法完整滿足上述防護措施的要求（圖一）。

圖一 客戶現有檔案儲存與共享方式搭配常見解決方案

SecuShare Pro 解決方案

網擎的 SecuShare Pro（以下簡稱 SSP）針對上述問題提供了全方位解決方案，能與企業內部架構無縫整合，並根據企業的具體情境給予合適建議。例如，針對政府機關近期推動的零信任架構，網擎與零信任廠商全景有實質合作，擁有豐富的整合經驗。當然，除了全景之外，市場上還有多家零信任廠商可供選擇，企業可以討論最佳的整合方式，以提升整體安全架構。

SSP 支援多種管理功能，包括登入範圍限制、分級允許 App 使用、裝置與連線管控（MDM），有效管理使用區域與裝置。關於 SSP 的檔案共享與交換，可分為以下兩個部分：

1. 內部權限設定：限定員工存取適當的檔案，提供細膩的權限設定。例如：以群組方式設置權限，或讓新進員工無法存取部門機密檔案等，給特定員工特定權限，另也可由主管來授予員工合適的檔案權限。

2. 外部檔案共享安全機制：共享連結必須強制加密、設置有效期限、限制僅能線上預覽。此外，系統還能檢查檔案是否包含個資及企業指定關鍵字，符合規則即禁止生成分享連結。

許多企業希望 SSP 能夠整合現有內部系統，搭配主管審查流程，實現更徹底的防護，確保企業資料安全無虞。這類需求皆可與網擎團隊進一步討論，以滿足企業需求。以下為兩個實際案例：

銀行業檔案攜出審查

銀行業因應金管會要求，當員工希望將內部檔案提供給外部的廠商、客戶時，必須由主管確認內容沒有機敏資料，員工才能將檔案寄給廠商、客戶。原先流程（如下圖二）中員工透過 USB 將檔案提供給主管，經主管確認內容 OK 後，檔案會上傳至內部的分享系統，產生連結後提供給員工。然而，金管會稽查後發現原先使用的分享系統已經終止支援，並且禁止內部使用 USB，因此，該銀行業的檔案攜出流程需要即刻改善。

圖二 案例銀行業原先檔案攜出流程

經過網擎團隊與客戶的討論，提出了圖三的解決方案：

圖三 與 SSP 整合後的解決方案

在此方案中，網擎為客戶做到了以下重點：

●  整合客戶自行開發的帳號系統，包括帳號建立、同步、認證以及取得對應主管資訊，以獲取上述流程所需的必要資訊。

●  介接內部現有的 portal，通過 SSO 方式，讓使用者無需再次輸入帳密即可登入 SSP 系統。

●  根據原先流程提出進一步的改善方案，讓客戶能更便利地使用這套系統。

需與上下游廠商交換檔案的汽車零件製造公司

另一個案例，國內某汽車零件製造公司對檔案進行嚴格管控，所有提供給外部廠商的檔案（如訂貨單、零件規格等）都必須經主管確認後才能提供。這些檔案會由 IT 部門統一管理，透過外部雲端檔案空間生成分享連結後，再將連結提供給主管和員工。原先流程如下圖四所示：

圖四 案例汽車零件製造公司原先流程

此流程存在以下幾個顯著問題：

●  流程過於冗長，員工申請後還需經過主管和 IT 人員的多層審核。

●  IT 部門工作繁重，若能將連結工作自動化，將大幅提升工作效率。

●  雲端空間有限，IT 人員需花時間清理空間十分不便。

經網擎與企業內部討論發現，原先企業內已有部分作業是通過申請表單進行，並需由對應主管確認表單內容，由於該廠商具有研發能力，因此提議運用原內部表單系統來透過 API 連接 SSP，以取代原先流程。新的流程如下圖五所示：

圖五 與 SSP 整合後的解決方案

此方案具有以下優點：

● 運用原先員工已熟悉的表單系統，降低學習成本。

● IT 人員不再需要介入此流程，節省大量時間。

● 檔案統一在 SSP 上管理，並有完整紀錄。

● 可自動刪除已分享完畢的檔案，減少 IT 人員擴充硬碟或整理空間的困擾。

駭客將於近年有全新的攻勢？

根據 Verizon 的數據，網路攻擊事件正以驚人的速度增長。生成式 AI 的崛起，不僅大幅提升了工作效率，也為駭客提供了更強大的攻擊工具。面對日益嚴峻的資安威脅，企業必須未雨綢繆。透過檢視系統漏洞並導入零信任安全架構，才能有效防堵資安風險。網擎擁有豐富的資安經驗，如果您對現階段的檔案儲存與共享存在任何安全方面的擔憂，我們皆能協助您建構完善的資料防護機制，保障企業資產安全。