2017 保險業數位轉型資訊安全研討會-會後報導

十一月 28, 2017 | 活動快訊

掌握數位轉型資訊安全 協助保險業打造人生最後防線

保險最重要的目的,便是幫助人與企業「規避風險」,確保人身與營運安全。對保險公司而言,替規劃客戶評估企業的營運風險,更是重要的核心能力。然而,身為協助客戶規劃、評估風險、決定風險價值的保險公司,經常也成為「有心人士」的目標,不論是偷竊資料庫、竊取員工文件、甚至直接對客戶下手,都是保險業每天實實在在面臨到的風險。

該如何讓自己在驚濤駭浪的網路攻擊中存活?確保企業內部或雲端上的資料庫安全無虞?保護員工在外使用企業應用系統的資料安全?甚至在公司網路之外守護客戶不被假冒網站欺騙?

強化企業網路韌性 回應資訊安全挑戰

新興科技的出現,從物聯網、雲端到金融科技(Fintech)、機器人、區塊鏈,企業帶來轉型的契機,同時也帶來安全挑戰。資安顧問公司認為,企業因應之道是培養高度的網路韌性(cyber resilency)。

隨著網路安全攻擊持續增加且複雜化,金融業面臨險惡的安全威脅。首先,社交工程是當今企業面臨最大的安全威脅之一,包括金融業在內。根據研究,90%的人提供電子郵件時不會確認對方身份,67%會提供身份證字號、出生日期或員工編號等隱私資訊。其次,研究顯示,59%的員工在離職時會竊取公司重要資訊。一旦企業網路或系統出現漏洞遭到入侵,攻擊者潛伏期平均為205天,而且漏洞往往都是由外部單位(如警方)告知他們才知道。

今天網路威脅來自四面八方,有國家贊助的駭客集團、有想竊取企業機密的商業罪犯、意在錢財的歹徒、心懷不軌、疏忽大意的內部員工或委外廠商,或是宣揚特定政治意識型態的駭客行動主義人士等,他們利用發展出各種狡猾的惡意程式及高明感染手法,DDoS、APT攻擊、銀行木馬、勒贖軟體、無檔案攻擊程式等入侵企業網站、閘道、用戶終端及核心資料庫,以遂其財務、商業或政治目的。

新興科技為帶來企業轉型的契機,卻也伴隨安全挑戰
新興科技為帶來企業轉型的契機,卻也伴隨安全挑戰

安永企業管理諮詢服務經理曾子瀅指出,危險環伺的今天,當組織只能在安全事件發生後才被動回應,往往為時已晚。幾十年來大部分金融保險機構已建置一定的自我防衛能力,現今的資安重點應放在網路韌性(cyber resiliency)。網路韌性有三大元素:意識(偵測威脅)、防禦(組織保護罩)與回應(災害復原能力)。企業可透過以下方法提升發現威脅的能力,包括接收網路威脅情報、建立安全監控中心(SOC)及資料庫行為監控,找出弱點所在、建置主動防禦機制。根據保險業一項調查,還有約65%的保險公司尚未建置 SOC 或擁有非正式的威脅情報中心,這也成了一項資安隱憂。

現今的資安重點應放在發展企業的網路韌性
現今的資安重點應放在發展企業的網路韌性

第二,企業應培養主動防禦的能力,即透過有計畫且持續執行的活動,以識別與擊敗隱藏的攻擊者。但是該怎麼做?曾子瀅表示,設計靈活的作業周期(operational cycle),達到快速回應及加速學習的效果,並結合網路威脅情報,對駭客行為進行分析及提供洞見、建議,但她也強調,主動防禦重點在主動出擊及加強防禦,並不能取代現有安全監控及事故回應機制。

另外,她提醒,高階主管的支援尤其攸關企業安全的建構,然而根據一項調查,32%的受訪者高階主管意識不夠、未提供足夠支持,82%的受訪者表示董事會中,沒有資安主管。事實上,去年發生重大網路安全事件的企業裏,超過一半對財務損失毫無概念。這種對資安的輕忽將減弱資安防禦的部署。

至於回應方面,主旨在建立一個集中式的網路侵害回應計畫(CBRP)。有相當多的企業沒有制訂安全事件發生時,對內溝通及對外的回應計畫,例如客戶資料外洩時,將近一半的保險業不會通知客戶,這將對嚴重損及公司商譽。曾子瀅指出,CBRP小組由科技、法規及業務單位主管組成,旨在藉由建立日常操作模式(business practice)及安全事件的回應戰術,確保安全事件發生時減少損害、維持業務持續運作,並協助損害的復原。
最後,確實辨識公司重要有形與無形資產、掌握公司策略方向及各關係利益者(stakeholder)的需求、平時則應做好風險評估及控制、因應威脅型態及攻擊者的演進而制訂出回應策略,才能強化組織的「韌性」,確保企業的安全及長治久安。

在效能與安全間取得平衡的資料庫防護方案

資料庫作為重要資訊寶庫,又攸關企業營運效率,如何在確保營運效率及安全之間取得平衡,是資安界的恆久議題,也促使資料庫安全技術不斷演進。

談到資料庫安全,最常見的解決方案是加密。透過只有有權限者才能解密、看到明碼資料,經過加密的資料庫一旦被竊或備份出去,外人也無法讀取資料,是相當安全的作法。

亞利安科技資安技術支援部經理王添龍指出資料庫加密的幾項缺點。首先是對效能影響巨大。原因是資料庫經過加密後,未來要處理資料庫指令前必須解密所有資料,對企業營運效率影響尤大。第2項問題是誰有權限解密?資料庫帳號往往只限於少數幾個人,一旦要查詢資料就必須動用少數帳號,這不但嚴重影響作業靈活性,也會讓這少數人疲於奔命。此外,應用系統往往共用一組帳密,而且該帳號就擁有最高存取權限,這意謂著只要從應用漏洞入侵企業內網即如入無人之境,讓資料庫加密形同虛設。

第3項問題在於經過加密的資料庫欄位使用有限制。像是欄位無法排序,影響使用彈性,資料表格互相參照可能出錯、資料庫加密需要改程式。另外,企業還得考慮索引(index)需不需要加密,比方說以身分證字號當作索引值,否則減損了加密效果。

王添龍指出企業資料庫防護的目標是從各個面向保護重要資料,在應用程式端完全封鎖未授權的非法存取行為,在作業系統層,使資料庫管理員也不得以任何方式存取明碼資料,而在硬碟端,則要做到即使硬碟被搬走也不會資料外洩。而一個較好的做法是,資料庫端採用加密,使管理員也無法看到明碼資料、而進階威脅(如APT)取得最高權限也沒有用,最好能有不影響效能的解決方案,免停機即可加密。

另外,在應用程式和資料庫之間採用稽核防禦,結合白名單可以監控並阻擋異常存取行為、保留稽核軌跡,且此類作法也不影響資料庫運作效能。利用植入代理程式(agent)可解決閘道方案集中加解密減低資料庫效能的問題,而加密金鑰則利用金鑰集中管理平台確保存取安全。另外,應用程式和資料庫之間加裝動態遮罩,可以監控異常存取行為,而且由於只有有限權的人可以存取所有資料,因此前端用戶看不到完整資料。
在測試環境下則需使用不同的防護方案。在開發測試階段人員複雜,而且為求方便,一般此類系統權限會對所有人開放,此外隨時可能多一個伺服器要管理。如果貪一時方便,借用生產環境的資料,則取得資料管理員權限的人士或APT惡意程式將得以長驅直入,讀取明碼資料,或將資料庫備份外流。

正式資料庫及測試環境要採用不同的防護方案
正式資料庫及測試環境要採用不同的防護方案

根據銀行業的PCI(Payment Card Industry)規範,正式資料庫的資料不得用於開發測試,以免客戶資料外洩,這是最根本的解決方案。在正式資料庫及測試資料庫之間架設符記化/靜態遮罩,可以將真實資料(如客戶資料)全數轉換成假資料,不用費心管理稽核,開發人員任意開發、測試,應用程式也不需修改,達到一勞永逸的防護效果。

資料庫安全無法只有單一防護解決方案達成,必須在不同環節加入加密、稽核、遮罩、符記化達成完整防護。

現今隨著駭客攻擊手段日愈進步,資料庫遭遇分散式阻斷攻擊(DDoS)癱瘓的事件不時可聞。根據統計,59%的 DDoS 的攻擊流量超過1G,而超過10G的流量比例為23%,企業可以購買市面的阻擋設備,或是採用雲端流量清洗服務,依企業規模選擇流量方案。而 Imperva 則是市面上唯一不限流量的網站 DDoS 流量雲端清洗方案 Incapsula。

完整內容請見:https://goo.gl/VQvhg5