安全分析師警示企業內部威脅之風險已久此類威脅通常屬於智慧財產竊盜、商業間諜以及心存不滿的員工利用仍可存取機密資訊時所施行的破壞。

例如於 2010 年美國企業 Texas Auto Center 遣散 Omar Ramos-Lopez 之後，他利用未撤銷的認證存取公司網站上的車輛停用系統。此系統通常用於收帳時，可將未依期付款的客戶之車輛停用。為報復公司，Ramos-Lopez 停用逾 100 輛車，甚至使車輛喇叭與警報器於半夜不停作響。

另一方面，美國貿易代表處則估計智財竊盜對於美國經濟造成每年 3,000 億的損失1。

這些是大部分 CIO 與 IT 資安專家所熟知的資安威脅，且通常至少已訂定初步的防範措施。然而在如今離不開社

群媒體，且充斥 BYOD 及委外工作的時代中，前述較為傳統的內部威脅僅為冰山一角。

如今內部威脅涵蓋的範圍，從企業網路上未落實安全管控的個人擁有行動裝置，到涉及約聘人員、承包商、分公司員工，甚至是所謂「信賴」合作夥伴，已包羅萬象不盡其數。

更甚者，對企業造成風險的裝置數量亦劇增，包含了媒體串流裝置、個人雲端儲存裝置、智慧型手錶，甚至包含智慧型溫度計等智慧型辦公室裝置，幾乎任何能夠透過無線或乙太網路連線網路的裝置均造成風險。在如此大量裝置的環境中，駭客自然早就察覺透過具備 WiFi 功能的裝置，例如印表機，進行攻擊，遠比直接攻擊裝有最新版防毒軟體的電腦更為簡單。

內部特權使用者造成嚴重風險另一個更嚴重的風險則源自於「內部特權使用者」。此指在各方面系統廣泛擁有較高存取權限的使用者，能夠存取公

內部威脅：使企業承受風險的 移動標靶

內部風險：7 個逃避現實的 跡象：

您的自備行動裝置 (BYOD) 策略著重於封鎖使用者，而非控管其存取權。

高階主管與其他「進階」使用者的安全規則不同於其他員工。

公司將存取權授予無法控管或難以控管的第三方，如約聘人員和供應商。

員工或第三方的職務變更、離職甚或是開除後，安全工具無法自動撤銷其權限。

員工將機密資訊儲存於難以保護的位置 (例如 Dropbox 等雲端儲存服務，或容易遺失、遭竊或故意攜出公司的 USB 隨身碟)。

未定期審查使用者存取權限以確保使用者僅獲得其工作所必須之最低權限。

無法監控內部特權使用者的 動作。

Flash Point Paper

__________

1 「Remarks by Deputy USTR Robert Holleyman to the U.S. Chamber of Commerce Global Intellectual Property Center 2015 Global IP Summit」(美國貿易代表處副代表 Robert Holleyman 於商業部全球智慧財產中心 2015 年全球智財高峰會之發言)， Robert W. Holleyman II 大使，2015 年 11 月 6 日，於 2016 年 7 月 26 日存取，https://ustr.gov/about-us/policy-offices/press-office/speechestranscripts/2015/November/Remarks-Deputy-Holleyman-Global-IP-Center-2015。

64,000 件安全事件...

疏失 特權濫用 阻斷服務攻擊

犯罪軟體

其他

其他所有實物竊盜/遺失

內部相關

Flash Point Paper內部威脅：使企業承受風險的移動標靶

2

司機密資料、應用程式及系統。通常這些人員的行動並不含有惡意，但他們 (通常是高層主管與 IT 管理員) 卻因為存取權限廣泛，因此發生任何安全疏失之時均可能造成嚴重災害。同時，針對此類人員的攻擊亦因此可能對公司形成難以衡量的損害。

近期一份 Ver i zon 安全研究即分析 64,199 件安全事件，指出其中約 50% 源自於各種疏失、特權濫用以及實物竊盜與遺失——而這些類型的事件絕大多數為內部人員所造成。若考慮近期以來的媒體報導，一般可能認為上述所有安全事件均涉及資料外洩。然而實際卻並非如此。其中僅 2,260 件涉及資料外洩。而其中更有絕大多數 (逾 80%) 是因外部人物的行動而導致2。

那麼這些安全事件最大原因為何？根據該 Verizon 報告指出，大多數的內部事件均因內部人員疏失或濫用存取特權所致。內部疏失包括如：將機密文件誤寄給錯誤對象，或將資訊發佈至錯誤的位置，讓沒有權限檢視該資訊的人員也能檢視。IT 人員組態設定錯誤亦屬於此類。組態錯誤可能導致機密資料儲存方式不安全，或將內容曝露給未經授權的人士。特權濫用則包括：利用存取權限取得資訊卻用於非原用途或未經許可之用途；處理不當，例如以電子郵件傳送機密資訊，或將資訊存入至檔案共用服務；或是使用未經許可的硬體或軟體，如 USB 隨身碟3。

企業若授權內部使用者進階的存取權限，則風險亦不再僅限於資料外洩。2012 年聖誕夜 Netflix 服務中斷。此次服務中斷並非惡意攻擊所致，而是因為誤刪了 Amazon Web Services (AWS) 彈性負載平衡器 (Elastic Load Balancer，ELB) 上的檔案。根據 AWS 說明：「因誤於線上環境的 ELB 狀態資料執行維護程序而刪除資料。」此疏失導致 ELB 服務後端資料遺失，進而造成服務中斷。

簡而言之，此次疏失即是所謂的組態錯誤。此次誤刪檔案乃是由於提供服務功能所必要的重要檔案存取權「誤設為永久存取而非每次存取均需審核」。這次事件耗費數小時才得以解決，因為支援工程師最初並不知道究竟是何變更造成此問題。

針對性的低速 (Low-and-Slow) 持續威脅亦形成新風險 當企業導入新式的進階多層式安全工具如資料外洩防護 (Data Loss Prevention，DLP) 系統與行為基準安全等等，攻擊方式亦隨之進化，特別是當攻擊者針對高價值企業進行攻擊之時。

現在攻擊者已不再對企業整體使用倉促完成的低品質網路釣魚攻擊，而常針對單一人員甚或是該人員的家人進行攻擊。如此針對性的攻擊稱作魚叉式網路釣魚或釣鯨攻擊，因其透過社交工程針對個人且僅針對該對象攻擊，或針對特定族群攻擊 (如近期發生的執行長傳票攻擊)，使得成功率較高。

執行長傳票攻擊使用非常狡猾的社交工程手法：偽造傳票。約有 20,000 名高階主管遭受該攻擊，其中已知感染案例則高達 1,800 起。其成功原因即在於一切均看似符合日常業務。此類社交工

執行長傳票詐騙：約 20,000 名高層主管收到偽造傳票，造成

1,800

件已知感染案例。

__________

2 「Verizon 2016 Data Breach Investigations Report」(Verizon 2016 年資料外洩調查報告)，第 1 頁及第 7 頁，© 2016 Verizon。

3 「Verizon 2016 Data Breach Investigations Report」(Verizon 2016 年資料外洩調查 報告)，第 22 頁、第 35 頁及第 40 頁， © 2016 Verizon。

3www.netiq.com

程攻擊目的在於取得特定的內部使用者身分認證，尤其是擁有特殊存取權的使用者。如此侵入企業網路後，由於系統將其視為內部人員，因此攻擊者可利用此存取權限與特權造成龐大傷害。我們相信在如今網路犯罪的攻擊手法之下，企業應將所有威脅視為「內部威脅」。

另一種新攻擊手法稱為「持續不斷的進階威脅」(Advanced Persistent Threat，APT)。過去曾流行一句話，說駭客均既懶又沒耐心。再也不是如此了。APT 在過去是政府機構用於網路諜報的手法，例如 Stuxnet 蠕蟲即是完美的例子。

然而如今一般常見的網路罪犯亦開始使用此攻擊手法，尤其是隸屬於網路犯罪組織的攻擊者。

2011 年針對 RSA 的 APT 攻擊即結合此兩者新手法。該攻擊第一步針對小部分可稱為「內部特權使用者」的 RSA 員工進行魚叉式網路釣魚。其中不慎按下 Excel 檔案附件的人員即在不知不覺中透過 Adobe Flash 弱點安裝了後門程式。最終，所有 RSA SecurID 產品安裝基礎遭到徹底滲透。

您是否正逃避著內部威脅的現實？ 許多企業自認已解決內部威脅的問題，實際上卻大開門戶。Ponemon Institute 近期一次問卷調查 (由 Symantec 贊助) 發現全球 3,500 位受訪者當中，有半數時常將業務文件以電子郵件寄至私人的

電子郵件帳戶。同時，三分之一的受訪者承認將企業文件移至未經許可的檔案共用服務，並有 40% 曾將工作檔案傳送至行動裝置。

事實上，該調查發現資料外洩最大原因來自於內部人員的疏失。這些內部人員通常並無惡意。事實上，他們只是想要以最高效率完成工作。若公司未能提供實用的雲端儲存或 BYOD 解決方案，熟知新技術的員工就會想辦法繞過他們眼中老舊、妨礙工作的障礙。

這或許和一般人認知的相反。大型攻擊和資料外洩如 Snowden 洩密與 Target 資料外洩事件佔據了新聞版面；但是別忘了，在幾年前造成 V.A. 重大資料外洩事件的原因，是因為一部筆記型電腦遭竊。

同時，Enterprise Strategy Group 的問卷調查 (由 Vormetric 贊助) 則發現內部威脅的防範已越來越困難。該調查訪問逾 700 位 Fortune 1000 企業 IT 專業人士，發現主要問題在於 IT 的規模暴增。換言之，雖然安全工具偵測惡意軟體的能力提升，威脅卻也以越來越快的速度增加。

現今企業必須授權越來越多種使用者 (行動使用者、約聘人員、合作夥伴、供應商，甚或是客戶) 存取關鍵應用程式，而此舉所引發的風險則遠超出傳統安全工具的極限。ESG 發現 54% 的 IT 與安全專業人士相信現今內部威脅的偵測與預防較 2011 年更為困難。

為何是 2011？因為在 2011 年兩種技術迅速普及：雲端運算與 BYOD。再加上其他趨勢，如逐漸分散的工作團隊 (越來越多員工至少每週一天透過遠端進行工作)、委外，以及如應用程式內的惡意軟體等新風險，內部威脅成為了任何企業均無從避免的問題。

54% 的 IT 與安全專業人士相信現今內部威脅的偵測與預防較 2011 年更為困難。

Flash Point Paper內部威脅：使企業承受風險的移動標靶

4

如何積極管理內部威脅就像所有心理學家會說的一樣：解決重大問題的第一步就是承認問題存在。自認已緩解內部威脅的企業其實面臨更高的風險，因為已無法認知問題的規模。

反之，採取行動處理此問題的企業——訂定 BYOD 規則、尋找工具落實規定、監視資料移動狀況、尋找辦法落實安全規則並隨時撤銷權限等等——則絕不會對於內部威脅防範抱持自信。積極行動的企業知道內部威脅是持續且不斷進化的問題，因此會盡全力應對並投資適切的工具，跟上時代的變遷。

另一個常見問題，即是企業不知道從何處著手。由於問題過於巨大而導致企業想要一口氣全面解決，但這是不可能的。同時，亦可能因畏懼第一步選擇錯誤讓攻擊者透過不同後門入侵而導致企業卻步不前。

企業能緩解內部人員風險的五個 動作

1. 減少公司內擁有特殊權限的人員數量。 此動作是最困難的一步，因為 IT 專業人士勢必難以向資訊長開口表示他的新手機不符合公司的 BYOD 規定。資訊長與 IT 必須說服所有高層主管，讓他們認清特權使用者是個問題，例如提出執行長傳票攻擊等相關案例作為說明。高層主管全需懂得符合規定的重要性。確保機密資料不會遭到不當存取非常重要。例如 PCI-DSS 即針對未適切保護信用卡資訊者訂定可觀罰鍰。不過這跟公司實際發生資料外洩時，會受

到的巨大財務打擊比起來，簡直如同九牛一毛。舉例來說，Target 迄今仍因 2013 年資料外洩事件後的訴訟，持續支付數百萬美金的和解金。此外，最近於美國明尼亞波利斯市的一家零售商即遭法院命令須支付 3,940 萬美金，賠償因資料外洩而受影響的銀行與信貸機構4。

2. 減少管理員及其他特權使用者的特權。長久以來，駭客均知道企業安全最脆弱的環節即在 IT 或系統管理員；這些人員常使用脆弱的密碼，或直接在裝置使用預設密碼，已是眾所皆知。即使強迫管理員在所有認證使用高強度密碼並強制輪替，效果仍不比直接限制存取權限好。不要讓他們擁有全面的存取權限。將管理員視同一般使用者一樣限制權限；當他們需要存取特定機密系統時，應授予暫時性的存取權限，並確實追蹤。

3. 密切監視特權使用者。進階使用者、高層主管以及 IT 專業人士若心懷惡意或帳戶遭受入侵，則將形成最嚴重的風險。首先，企業不應為他們開放所有系統的門戶。存取權限應限於實際需要之權限，且若需求屬於暫時性，則亦應及時撤銷存取權限。在持續性的權限方面，則應優先監視進階使用者，

現實中， 企業文件並不安全...

1/2 的受訪者時常將業務

文件以電子郵件寄至私人的電

子郵件帳戶。

同時， 1/3 的受訪者承認將企業文件移至未經許可的檔案共用服務。

40% 曾將工作檔案傳送至行動裝置。

__________

4 Jonathan Stempel 及 Nandita Bose，「Target in $39.4 million settlement with banks over data breach」(Target 資料外洩 事件與銀行以 3,940 萬美金和解)， Reuters，2015 年 12 月 2 日，於 2016 年 7 月 27 日存取，www.reuters.com/article/us-target-breach-settlement-idUSKBN0TL20Y20151203#qmGPWO0mR7raj6J0.97

5www.netiq.com

而非一視同仁耗費時間監視僅擁有最低限度存取權的基層員工。因為進階使用者帶來真正重大的威脅，企業應積極監視他們的行為。

4. 逐漸於公司全面落實上述原則。換言之，若您授權約聘人員存取權限，則應限制獲得特權的使用者人數。事實上，擁有任何存取權限的人數均應嚴格控管。不需要存取的人員，即不應獲得存取權限。接著，限制其權限。如果他們需要存取供應鏈應用程式，就不能使用相同身分證明存取您的 CRM 系統。

5. 部署合適的工具。用傳統安全工具試圖防範內部威脅，本身即已屬於高風險的策略。同樣高風險的，是信賴傳統工具提供者，讓他們在舊式安全解決方案中增添新式複雜安全功能。較佳的方式是採取多層次的安全措施，使用同級最佳的整合式產品。此整合式解決方案應透過自動化管道提供使用者與事件相關的重要「背景資訊」，讓您能夠掌握安全事件的「人、事、地、時」，也為團隊提供偵測與阻止攻擊所需的情報。

趨勢預測當雲端、BYOD、社群身分識別等技術持續改善現代企業執行業務的形態並加深 IT 複雜性，其他種內部風險即可能遭到忽視。隨著越來越多人能夠存取企業機密資料，我們也就需要能夠迅速判斷內部人員的動作是否符合業務需求或有所異常。而此功能又將需要另一層的背景資訊。

「身分識別」是一大關鍵背景資訊來源，掌握身分識別就能瞭解組織內的正常使用者行為。當使用者「身分」整合於安全事件資料，安全團隊就能夠迅速辨識異常或有風險的使用者存取與動作，進而採取行動緩解其中潛在威脅。

這種作法結合身分識別管理、存取管理以及安全事件管理，針對使用者的身分、哪些活動屬於正常行為及使用者需要存取哪些內容，提供完整的組織知識。

目前市面上已有多款解決方案能夠幫助您更佳控管現在與未來的內部風險。大多數產品均能夠應對上述一項或多項挑戰。

然而若需要完整的解決方案，則應考量以下關鍵要點：1. 是否兼顧所有關鍵基礎架構元件？

2. 是否允許精細的權限控管？3. 是否提供必要的稽核功能？4. 是否讓您監視使用者利用存取特權執行的動作？

5. 是否符合 PCI-DSS 3.2 版 (檔案完整性監視) 標準所規定，讓您能夠監視含有機密資料的檔案，掌握其變更與存取動作？

6. 是否能夠整合於您的安全監控解決方案？(在理想狀況下，您的安全資訊與事件管理 (Security Information and Event Management，SIEM) 系統亦應與身分識別和存取管理解決方案整合，為您提升可見度，掌握使用者實際動作。如此可讓您辨識實際造成威脅的動作，並迅速採取對應行動。)

在如今由雲端、行動運算以及社群媒體所構成的複雜環境當中，內部人員與假冒為內部人員的外部人員風險會造成特別巨大的傷害。而當該內部人員擁有特權使用者廣泛的存取權之時，更為嚴重。控管存取權限並監視關鍵系統與資產的變更，是緩解潛在威脅的關鍵。如需進一步瞭解如何偵測內部威脅並防止造成損害，請造訪： www.netiq.com/securitymanagement

584-TW0009-003 | Q | 05/17 | © 2017 NetIQ Corporation 及其分支機構。版權所有。NetIQ 和 NetIQ 標誌是 NetIQ Corporation 在美國的商標或註冊商標。所有其他公司與產品名稱可能是其各自公司的商標。

NetIQ台灣網威股份有限公司 台北市大安區 106 敦化 南路 2 段 216 號 26 樓 B 室Tel. 886-2 23760000

info@netiq.comwww.netiq.com/communitieswww.netiq.com

如需本公司在北美、歐洲、 中東、非洲、亞太地區和 拉丁美洲分公司的完整列表， 請瀏覽 www.netiq.com/contacts

www.netiq.com

www.netiq.com