网路资讯/资料外泄灾难漏洞止不住
作/艾里卡
IT人员必须了解每一个专业的安全步骤,试图减轻资料外泄带来的影响,并且避免日后相同的情形一再发生。
在Ponemon Institute年度报告里一直想要找出资料外泄究竟让企业与个人付出多少代价,在此议题上Ponemon Institute已投入了5年之久。该报告建立了一个标准,其中包括法律上的罚金与通知客户等直接成本,还有客户翻脸、生意流失等间接成本。
2013年,Ponemon指出,每笔资料外泄的成本平均算下来大约是136美元。他们估计,资料外泄在美国的成本大约是每笔188美元;如果是恶意犯罪攻击,例如网路骇客或内部窃贼的话,这种外泄的成本每笔高达277美元。
这类指标揭露了一些事实,不过众所皆知,某些类型的资料外泄肯定会造成更巨大的损失,例如公司智慧财产外泄、技术机密外流,或在公司发动并购前相关资讯早一步曝光。
制造业供应链可能会因为资料外泄而受到影响;客户资料可能被偷,而很多时候下手的是第三方承包商,而非直接有关的生意对象。
另外,智慧财产外泄因素通常不会被列入外泄成本计算,因为其冲击实在太难衡量,而且事件已经超出法律监管范围,因此经常未被公开。
不过,了解这些隐藏或未公开的成本,并注意到可能的威胁之后,公司可以做好准备,来面对资料外泄与复原问题,同时拟定合理的预算来降低风险,免得付出不必要的代价。
资料外泄潜在的影响
究竟是哪些资料遭外泄?又是如何外泄?要拼凑出这些事实,需要调查成本,同时还会中断生产,相关损失究竟有多高,IT人员其实也没有定论。
资安顾问公司Bishop Fox分析师Vinnie Liu直言,「其实最大的成本,就是丧失生产力;不只是IT团队受影响,所有牵涉到受损系统的人都被牵连,特别是那些关键系统。这就是骨牌效应,而且当事件发生后,会产生巨大的乘数效果。」
Ponemon与其它单位计算后,许多已知的重要成本,包括知会受害客户与企业合作伙伴、支付信用监察与受害者身份还原,雇用更多人来处理客服电话,这些都是构成资料外泄总成本的要素。其它可能的成本包括法律调查、诉讼、商誉损失与客户流失等,都会造成所谓的「品牌伤害」,成本难以估算。
RSA Advanced Cyber Defense资深总监Peter Tran认为,最常被忽略的成本,就是「组织性的伤害」。这种疲劳性因素的产生,通常出现在连续几个月的泄密调查之后,大家疲于检查登录资料、搜查可能的嫌疑人、更改基础设施、还要与律师及通讯专家打交道。各种资安手段都变得没有效率,因为IT团队已经累垮,无法主动做任何事。
让公司付出惨痛代价的,不只是因为智慧财产遗失导致技术规格外流;如果公司的竞标资料、设厂资讯或是海外事业计划外流,这些都可能造成公司严重的损失。
资料外泄事件也经常导致公司延宕其创新计划,尤其在科技领域特别明显。他们必须搞清楚究竟遗失了哪一项智慧财产?还有是如何遗失的?否则他们无法继续投资相关计划。Tran表示,要继续投资这个创新确实很难,因为现在还要考量到各种经济与市场的因素。
提早预防胜过事后弥补
如果相关攻击一直没有被发现,那么资安外泄造成的伤害只会更严重。假使攻击者的目标是要窃取客户资料或智慧财产,通常他们会从小处着手,透过钓鱼攻击或网路攻击,利用恶意软体切入某个端点。
成功入侵后,攻击者会开始扩大他们的系统权限,把触角延伸到其它系统,在所有系统上建立多个后门,让他们可以持续进出该系统。「最重要的是,这个时间拉的越长,入侵者就越有可能过滤出该公司的『独家秘方』,」Ernst & Young网路入侵暨弱点服务负责人James Phillippe说道。
如今,许多资安外泄事件的时间长度是以「月」计,而非以分钟计算。2013年Verizon RISK TEAM的「资料外泄调查报告」(Data Breach Investigations Report)发现,2012年有66%的外泄事件是过了好几个月才被发现,这比2010年的41%明显增加;而且,其中约有70%的事件并非受害公司自己发现,而是第三方组织,例如商业伙伴或警方。
许多公司无法快速找出资料外泄的主要原因之一,在于他们的网路流量没有足够的能见度,也缺乏足够分析。如果有的话,一般公司可以把个别攻击事件拼凑起来,让他们研判整个系统是否已经被骇。
Phillippe表示,「很多公司总是在事件发生时才开始打地鼠;他们清除了恶意软体,然后赶快让主机恢复运作。这种反应模式恐怕治标不治本,他们只处理了恶意软体问题。」
Phillippe认为,要快速发现资料外泄并迅速回应,其实有3个关键。首先,公司必须有健全的资产管理系统,让他们可以辨识所有网路内的装置,并设定装置的行为规范,如此才能快速找出异常状况。
第二,经过仔细设定的资安、资讯与事件管理系统是「安全运作中心的核心」,这样才能拼凑出事件的全貌,显示究竟这起攻击事件是因为哪些异常状况所造成。
第三,威胁情报服务可让公司掌握攻击者的背景资料,这些服务提供整个产业的攻击模式与其它公司面临的状况,让公司可以注意到某些迹象,然后早一步提防。