資安漏洞隨時可能突然竄出,此時,任何仰賴資訊科技來營運的企業都可能陷入危險。當漏洞發生時,就是歹徒入侵企業系統、從事不法活動的最佳時機:從資料竊取、資訊外洩到各種其他風險。因此,漏洞可說是今日最令企業頭痛的一項問題。
根據最新資料顯示,有越來越多的漏洞不斷被挖掘出來:
• 根據 SecurityWeek 指出,2017 年是漏洞通報數量創新紀錄的一年。整體上,該年總共發現了 20,000 多個資安漏洞,較前一年增加 30%。儘管這數據可能有多種不同解讀方式,例如:資安風險正不斷升高,或是企業軟體使用者通報漏洞的情況更加頻繁。然而,這麼高的平台漏洞增加幅度,確實令人擔憂。
• 儘管 2018 年的數據還在統計,但根據 RiskBased Security 的一項報告,截至去年 8 月為止,已通報的漏洞數量已經超過 10,000 個,其中包括 3,000 個很可能許多企業都還尚未修補的漏洞。
RiskBased Security 表示:「這些已通報漏洞的嚴重性依然很高,企業必須隨時保持警戒,並建立一套完整的軟體漏洞評估與管理計畫。」
儘管企業越來越難抵擋漏洞不斷增加的浪潮 (尤其是零時差漏洞),但還是可以採取一些關鍵的策略來提升自身安全。
漏洞類型以及歹徒如何利用漏洞從事惡意活動
在我們深入探討這些策略之前,我們應先來看看漏洞的實際運作,了解歹徒如何利用這些軟體漏洞。
趨勢科技在一份名為「以其人之道,還治其人之身:如何贏得漏洞競賽以保護您的企業」(Beat Cybercriminals at Their Own Game: A Guide to Winning the Vulnerability Race and Protecting Your Organization) 的電子書當中指出,漏洞的種類繁多,而這些各種不同的漏洞正是資安的重大挑戰。
傳統上,所謂的漏洞就是程式設計錯誤或其他軟體問題而導致駭客能夠避開密碼保護或安全機制來非法入侵系統。不幸的是,這類問題相當普遍,資安研究專家隨時都在發現這類可讓犯罪集團利用的新漏洞。
一般的漏洞通常都已有修補更新可加以防堵,但零時差漏洞則不然。所謂的「零時差漏洞」是指一些才剛被發現而廠商還來不及修補的軟體問題。正如趨勢科技所言:「這是因為廠商根本沒有時間來得及修補,或是廠商決定不加以修補。」
除此之外,還有所謂「未公開的漏洞」同樣也會對企業資安帶來嚴重威脅。這些是已經被發現並通報給廠商,但卻尚未對大眾公開的漏洞,而之所以未公開,就是為了讓廠商有一段緩衝時間可以修補問題。
不論是哪一種漏洞,都能讓駭客用來非法入侵系統、安裝惡意程式、竊取並洩漏資料,或是修改系統上的檔案、發動阻斷服務攻擊,或者操控系統從事非法活動。然而,問題還不只如此,漏洞讓網路犯罪集團有機會發動各式各樣的攻擊,對企業的生產力、獲利、客戶關係、廠商關係以及企業信譽帶來嚴重打擊。
漏洞是企業資安的嚴重風險。
如何解決企業內的漏洞問題?
今日,企業與 IT 團隊在防範軟體漏洞方面有以下幾項關鍵。
隨時掌握最新的資安研究
不論漏洞是否被發現或通報,資安專家 (如趨勢科技) 都會提供使用者一些有關軟體漏洞、其潛在風險以及該如何防範的相關知識。其中一項讓企業隨時掌握資安情勢的最佳方式就是,隨時關注該領域的重要研究,並且將研究發現應用在企業防護上。
趨勢科技在電子書當中提到其自家研究機構時表示:「趨勢科技研究單位 Trend Micro Research 遍布全球的威脅研究員與資料科學家,隨時都在發掘並揭露各種平台的最新漏洞。憑著多年來與合作夥伴不斷改進的作業流程與技巧,我們純熟的研究團隊有辦法藉由逆向工程技巧來徹底分析威脅,迅速為我們的客戶提供防護。」
除此之外,趨勢科技更擁有全球最大的漏洞懸賞計畫:Zero Day Initiative (ZDI),廣納全球使用者與白帽駭客所通報的漏洞,讓這些漏洞能夠盡快獲得修補。最棒的是,通報漏洞的人還能獲得獎金,例如 Apple 就提供了一筆 10 萬美元的獎金給任何能夠從其 Secure Enclave 當中竊取敏感資料的人。
隨時掌握最新的更新與修補訊息並妥善安排修補次序
除了隨時掌握資安廠商與專家的最新研究之外,還有一點相當重要的是,IT 主管應隨時掌握廠商釋出的最新修補更新。
例如,Microsoft 習慣在星期二發表定期更新,並稱之為「Patch Tuesday」(週二修補日)。所以,凡是 Microsoft 產品的用戶都應該注意其發表更新的時間表。
不過,如趨勢科技在電子書當中提到,由於資安與軟體廠商所發布的更新實在太多,因此 IT 團隊已經不可能隨時一有更新就立即安裝。這表示,在企業有時間套用修補更新之前,駭客仍有一段空窗期可以攻擊已經公開的漏洞。
要解決這樣的問題,企業可以根據以下幾點來安排修補更新的優先次序:
• 問題的嚴重性。Microsoft 及其他廠商都會根據漏洞的整體風險為漏洞指定一個嚴重等級。所以,重大問題的修補更新應盡速套用,而較不重要的更新則可以暫緩。
• 影響企業關鍵軟體的漏洞。同理,企業日常運作必須用到的軟體系統若有修補更新,優先次序應高於其他更新。如果是偶爾才用到的軟體,或是只有公司內特定部門的少數使用者才會用到的軟體,其更新就不是那麼緊急。
• 目前正遭受攻擊的漏洞。如果是駭客目前正經常利用的漏洞,其修補更新應優先處理。
正如趨勢科技電子書所言:「鎖定那些您作業系統、裝置和應用程式當中正遭到駭客不斷攻擊的漏洞。這樣既能大幅減少您必須修補的漏洞,又能降低企業風險。」
如需更多有關如何盡速防堵漏洞與相關資安風險的資訊,請參閱趨勢科技電子書。
原文出處:How to get Ahead of Vulnerabilities and Protect your Enterprise Business