現今愈來愈多組織遭受網路攻擊及資料外洩的威脅,儘管大部分企業已大量投資網路安全防護。作為組織領導階層,如首席執行長、首席財務長及人力資源主管等,雖然並非來自資訊科技部門,但有必要了解自身組織的攻擊面(attack surface)為何持續擴大,以及如何縮小攻擊面的重要性。網路威脅已經演變成嚴重的企業威脅,每個部門都應當提高警覺。
組織的攻擊面是指所有黑客可能利用的入口點,透過那些入口非法進入資訊系統。這包括各種終端設備如行動裝置、桌機、伺服器、網路應用程式/軟體、API等等,以及其他可能遭受網路攻擊或資料外洩的弱點。
現代組織的攻擊面通常十分龐大,因為資訊系統、運算網路和雲端主機/儲存已經成為各行各業營運不可或缺的一環。從較廣義來看,攻擊面大致可分為實體攻擊面和數位攻擊面。資訊長或資安長須針對這兩種攻擊面採取不同的防護策略,並且多年來一直在努力減少風險。
實體攻擊面包含黑客可能試圖入侵的所有硬體設備,例如桌機、行動裝置、電話、平板電腦,甚至隨身碟和其他可攜式儲存裝置。當廢棄舊硬體時,機密資料可能仍殘留在裝置中,形成風險。在較小程度上,實體攻擊面也包括防止入侵者偷取資料。為了縮小實體攻擊面,資安主管通常實施硬體管理政策和其他常見的終端安全措施。
數位攻擊面則更加難以防範,因為攻擊面分散在整個網際網路上,包括軟體系統、應用程式、網站、伺服器、電子郵件、雲端儲存/主機,以及所有非法系統存取入口。數位資訊安全的重點在於修補程式碼漏洞、加強密碼強度、改善加密方式、關閉開放API、更新軟體等。
組織的目標是在合理可行的範圍內,盡可能縮小實體和數位攻擊面,以防止敏感資料遭到未經授權的公開存取。
近年來也出現了一種新的攻擊面,被稱為"社交工程攻擊面"(Social Engineering Attack Surface),這明顯削弱了資訊與資安主管的防護工作。就算組織已成功縮小數位和實體攻擊面,社交工程攻擊的興起也擴大了可能的攻擊向量,導致資料外洩事件與日俱增。
社交工程攻擊可能同時利用實體與數位攻擊向量,並透過公開網路上的非法外部資料進行攻擊。與防守實體和數位攻擊面不同的是,社交工程攻擊直接瞄準企業員工和合作夥伴,利用釣魚電郵等手段誘騙受害者透露敏感資訊。防禦社交工程攻擊是一大挑戰,因為資安團隊無法完全控制所有員工在網路上的活動。
要有效減少攻擊面,組織必須將注意力放在外部資料隱私管理上,使用Privacy Bee等資料隱私平台,用多種方式縮小攻擊面並阻斷攻擊從一開始就產生。這包括主動掃描網路上的員工個人資訊外洩、識別隱私風險點、監控員工賬號和設定通知警示等。
總括而言,縮小攻擊面迫在眉睫,攸關組織的資安防護與業務穩健。資訊外洩往往發生在攻擊過程的初期階段,組織領導人有必要深入了解社交工程攻擊、採取積極主動的外部資料隱私管理措施,方能有效降低網路威脅的影響。與專業的資料隱私合作夥伴合作,展現對資料隱私的重視,將有助於打造更強大的企業防護力,無懼未來數位世界的挑戰。
詳情請看:
Understanding and Shrinking Attack Surfaces: A Comprehensive Guide for Organizational Leaders