截然不同的方法—在數位化轉型時代防範網路攻擊

在網路攻擊逐漸升級的過程中，公司和組織應當徹底改變對於資安措施的看法。在無法完全避開網路攻擊的前提下，對策的重點從預防攻擊轉移至遭受攻擊之後將損失最小化。根據這一觀點，公司和組織必須建立專業化資安團隊。然而，因為資安人員極其缺乏，所以他們發現在內部很難保護所有基礎。

網路攻擊的強度日益增加(表1)。例如，2015年6月，日本養老金機構一名員工的電腦感染了惡意軟體，導致大約125萬人的個人資訊洩露。其它各種公司和機構也面臨鎖定攻擊的威脅。Yutaka Osugi是資安諮詢公司ITR的分析員，他斷言：“沒有一家公司或機構不是鎖定攻擊的目標。”

感染勒索軟體的情況也十分普遍。勒索軟體對你的資料加密或鎖定你的電腦，然後在螢幕上顯示消息，索要贖金。根據一家IT資安公司的調查，2016年1月至6月，日本的公司報告了1,510例遭受損失的事件，比去年同期高出九倍。

因缺乏完善的防禦，讓資安疑慮有機可乘

在大多數情況下，公司和組織忽視了對於資安措施的需求但並沒有成為攻擊目標或勒索軟體的犧牲品。即便如此，也無法安然無恙地避開這些網路攻擊。

在網路攻擊中，攻擊者總是佔據優勢。人們已有共識：不可能百分百阻止惡意軟體感染。攻擊者擁有巨大的惡意軟體庫，使用各種方法不斷的進攻。

為了將網路攻擊的損害最小化，須從底層認知該問題。按照舊例是將攻擊擋在外圍，但時至今日。人們開始認知，即使使用資安設備也無法完全阻止網路攻擊，資安投資比例須轉守為攻下手。這意味著既要主動處理已經發生的攻擊，又要採取事後措施，將攻擊後損失最小化(圖1)。

收集攻擊者資訊，減少容易成為鎖定目標的區域

網路攻擊的措施的發展趨勢已從預防轉向提前警告。根據德國資安銷售商AV-TEST的報告，在2015年，每秒產生4.5種新惡意軟體，攻擊的速度以指數級增加。

常規的網路防禦程式將在發現攻擊時向你發出警告，然後匆忙防禦，但是在處理攻擊時，攻擊者其實已經達到目的。下一代措施必須變為監控和處理威脅，即首先確定攻擊目標。

重點是減少攻擊點，也稱為攻擊面。攻擊面最初是一個軍事用語，指可能受到攻擊的區域。在資安領域，攻擊面表示電腦、伺服器和物聯網設備。

網路攻擊的目標和方法經常改變。資安措施的重點包括：確認攻擊面的位置；涉及哪些風險；將攻擊面最小化，進而避開攻擊。

通過斷開和失能處理鎖定攻擊

即使減少了攻擊面，公司和組織也會面臨受到攻擊的風險。因此，2015年年末，許多公司開始使用新的防禦方法。例如，包含斷開互聯網連接。

通過斷開連接，主幹和資訊系統與互聯網物理分離。鎖定攻擊導致125萬帳戶的養老金資訊洩漏之後，日本養老金機構決定斷開系統，作為提高安全性措施的一部分。主幹系統完全斷開互聯網連接。在每個辦公室，通過專用的電腦終端可以進行限制訪問，旨在流覽網路和檢查電子郵件。

同時，越來越多的公司和組織開始採用使來自線上郵件和網站的惡意軟體失去能力的產品。這些產品通過專用伺服器上的虛擬流覽器查看網路以及到達內部電腦螢幕的資料流程。如果網站感染惡意軟體，則惡意軟體僅能到達內部電腦螢幕，無法到達系統。還有其它的資安產品，有些產品將惡意軟體從電子郵件附件中去除，從而使惡意軟體失去能力。

即刻建立資安團隊

雖然網路智慧強化“最好的防禦就是進攻”方法，但是仍然無法預防一些網路攻擊。實際上，為了防範攻擊，需要提前建立反應結構。最好的方式是建立“電腦資安事故反應團隊”或CSIRT-應對資安危機的專業團隊。

網路攻擊導致資料洩漏或網站篡改等事故發生之後，CSIRT是第一反應團隊，遵循預定的程式。CSIRT沒有通用的程式或團隊結構，一般包括來自系統分支機搆的職員以及來自業務分支機搆的資安監督人員，他們在履行CSIRT職責之後需要繼續實施本職工作。

根據日本資訊系統使用者協會(JUAS)的“2016年公司IT趨勢調查”，只有3.8%的公司除了IT部門外還有事故反應團隊，例如CSIRT。然而，CSIRT的概念開始逐漸受到歡迎，對此最積極的公司就是曾經在網路攻擊中遭受損失的公司。政府也發佈了一系列報告，建議私營公司設立CSIRT，從而推動了CSIRT的發展(圖2)。

當網路攻擊發生時，CSIRT必須介入，並且作出決策：是否停止服務；何時以及如何通知顧客和客戶；何時聯繫主管機構。他們的主要職能是在事故發生時採取措施。他們發現和分析事故，控制損失，採取措施防止事故再次發生。

同時，他們在正常運營期間作好防範攻擊的準備，確保順利作出反應。作為對於事故的初步反應，他們可以監控系統，獲得和分析行動日誌，建立緊急狀態下的指揮系統。初步反應還包括收集攻擊資料，與其它組織交流，類比緊急狀態進行演習。而且，他們領導關鍵的品質控制任務：實施風險分析，制定“業務持續計畫”(BCP)，在正常運營期間實施資安教育，提高人們的認識。

SOC將網路攻擊視覺化

與CSIRT一道，資安運營中心(SOC)可以作為強大的資源用於提高針對網路攻擊的反應能力。SOC是專業化機構，每天24小時監控來自內部系統和網路的日誌，解讀網路攻擊跡象，向CSIRT發出警告。SOC將網路攻擊視覺化，是CSIRT的監視哨。

雖然可以在公司內部建立SOC，但是與CSIRT不同，SOC的職能完全可以委託給資安銷售商。如果公司缺乏資安專業人員，則可以使用管理資安服務，將SOC外包。

許多企業，特別是大型製造公司，選擇在內部建立SOC。在過去，只有金融機構和國防公司建立內部SOC，因為他們需要處理極其敏感的資訊，擁有眾多資安人員的ICT公司也會建立內部SOC，但是目前這種情況已經擴展至大型私營公司。

有兩種情況促使公司建立自己的SOC。首先，網路攻擊極其頻繁，已被視為管理風險和災難以及違規行為。例如，如果花費數年開發的設備藍圖被盜並且被實施逆向工程，則會造成幾十億日元的損失。其次，通過目前的ICT工具將會降低自行運營SOC的成本。

需要超過240,000名資安人員

我們已經討論了危機管理的核心CSIRT和SOC。然而，為了建立這些組織，必須培訓和聘請熟悉安全領域的人員，這就帶來了最大的挑戰。

在日本，大約有106,000名資安人員可用于保護400多萬家日本企業。日本政府在2015年9月發佈的“網路安全戰略”表明，資安人員“在品質和數量上嚴重缺乏”。公司缺乏81,000名資安人員。在現有的265,000名資安人員中，159,000名(60%)能力不足。

JUAS的“2016年公司IT趨勢調查”按照崗位調查了資安措施的充足性。80%的受訪公司表示，缺乏足夠的資安規劃員和事故反應員(隔離和解決問題)。超過60%表示需要更多管道與管理層溝通(圖3)。

公司和組織的安全人員需要符合三項條件。首先，需要具有專業技能。雖然技能十分重要，但是他們也必須擁有掌控資安事宜的遠大抱負，能夠主動地參加海外活動和內部競賽。

其次，資安人員需要具有現實主義精神。他們必須意識到，無論他們多麼努力地工作，資安事宜都不會達到完美，因此需要重視消除所有脆弱性，考慮如何將脆弱性最小化，從而不會在現場產生問題。

最後，他們需要具有認真負責的態度。資安人員必須對預防事故的標準負責，不惜一切代價維護標準。

在這三個方面培訓資安人員需要時間。在此期間，唯一的解決方案是將工作外包或者聘請成熟的專業人員。如果你不切實際地認為你能立即請到全能的資安人員，或者未能作好建立職業路徑的準備，那麼一切都是徒勞。

自2017年4月起實施新的國家認證制度

為了解決人員短缺的問題，政府於2016年4月啟動“資訊安全管理考試”，面向用戶部門的資安管理員，旨在通過考試學習培養人力資源。

為了提高資安工程師的品質和流動性，政府將於2017年4月啟動一項新的國家認證制度-“資訊安全註冊專家”制度。該認證的目的是對經過認證的個人進行公共註冊，從而使公司和組織更加容易找到具有熟練技能的資安工程師。同時，註冊人員必須定期參加研究班，以保持其技能水準。政府計畫在2020年之前實現30,000名註冊工程師的目標。

不久以後，公司將無法獨自處理複雜的大規模網路攻擊。我們必須摒棄過時的常識。只有當公司認識到他們的防禦能力有限時，他們才會真正開始回擊網路攻擊。

成為網路攻擊的目標並非一種尷尬或恥辱。關鍵在於事情發生之後如何處理。如果從公司外部的人員和組織尋求説明，並且積極地宣佈受到攻擊的事實，則應當會將損失最小化。

*2017年1月，本內容出現於ITpro Active。