工業控制系統 (ICS) 營運技術 (OT)
新資安信條:從「信任但驗證」到「不信任直到徹底證明為止」
英國國家網路安全中心(NCSC)指出新的威脅需要網路防禦策略 。 對於 IT 人員及網路系統管理員來說,「信任並驗證」這句話已經不再適用,取而代之的是的「不信任直到徹底證明為止」。在過去,防火牆曾經是您堅不可摧的堡壘,防毒軟體則是您數位的預防針,但這樣的日子已經不再。現在,要堅定地守護數位邊界,意味著要隨時保持警戒、對未知威脅抱持懷疑,並且持續不懈地追求能與駭客創新抗衡的資安。
對於 IT 人員及網路系統管理員來說,「信任並驗證」這句話已經不再適用,取而代之的是的「不信任直到徹底證明為止」。在過去,防火牆曾經是您堅不可摧的堡壘,防毒軟體則是您數位的預防針,但這樣的日子已經不再。現在,要堅定地守護數位邊界,意味著要隨時保持警戒、對未知威脅抱持懷疑,並且持續不懈地追求能與駭客創新抗衡的資安。
隨著企業紛紛移到網路上,讓防禦的一方得以改善邊界安全、執行漏洞掃描,並且修補系統。但駭客發現,只要直接攻擊使用者裝置就能立即存取檔案和資源。
因此,許多駭客現在都略過邊境防禦,直接聚焦在客戶端軟體以及網路釣魚郵件。瀏覽器和其他端點軟體都存在著漏洞,而且大多數的目標裝置上都有 Office 巨集可用。
根據英國國家網路安全中心 (National Cyber Security Centre,簡稱 NCSC) 指出,這一點就是許多入侵事件的原因。
近年來,資安的進步讓駭客更難透過網路釣魚來入侵端點裝置,軟體廠商現在都採取縱深防禦策略,去除一些危險的功能,並且使用沙盒模擬環境。
Microsoft 修改了巨集的設定,也讓傳統的網路釣魚獲得抑制。駭客現在轉而攻擊網路邊界產品 (如防火牆和 VPN) 的漏洞,因為這些產品普遍缺乏足夠的安全機制。駭客們發現,利用已知的漏洞,入侵這些產品反而比入侵熱門的用戶端產品更加容易。
不幸的是,駭客會不斷利用連網產品的漏洞來滲透網路,為此,英國政府建議網路防禦的一方應採取幾種作法,例如:
- 要求提供安全證明:堅持要廠商證明其產品設計的安全性。這是採購流程以及評估網路邊界產品很重要的一環。
- 避免採用未經驗證的產品:在未證明產品設計安全之前,別將產品部署到網路邊界。考慮使用雲端代管產品 (SaaS) 來讓維護更輕鬆,不過請確認廠商能提出設計安全證明。
- 降低企業內解決方案的風險:對於尚未準備移轉到 SaaS 的企業內服務,可藉由關閉對外連網軟體非必要的介面或服務來降低風險。
- 確保開發人員承擔責任:確保內部所開發的服務已達到設計安全標準。使用雲端代管與無伺服器技術來降低駭客入侵的潛在風險。
除此之外,NCSC 也建議採用一套雲端優先的資安方法,並著重於監控與快速回應潛在威脅,其中包括:定期更新軟體、建置強大的認證機制,以及定期執行漏洞評估。
此外,網路防禦還可建置入侵偵測防護系統 (IDPS) 來監控網路流量以發掘可疑活動。IDPS 還可即時攔截可能有害的流量,在入侵發生之前預先加以防範。