面對資訊安全挑戰,企業如何避免犯低級錯誤?(下) | 文章 – 滙豐機滙

駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。

駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰?

一、定期更新軟體

最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。

二、加入多重身份認證或生物認證

Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有:

三、制度化與系統化的規劃

如果是比較大型的企業,應該制訂整體的資訊安全策略,且資訊保護應符合公認的標準,著名的有美國國家標準技術研究所 (NIST) 的 cyber framework。同時,需要建立一套完善的保護資料制度,系統化地管理和操作跟用戶個人資料有關的工作。員工在接觸、處理用戶個資時,必須嚴格遵守標準作業流程 (SOP),防止因為個人疏忽而讓駭客有機可乘。資源充足的公司可以跟資訊安全專家合作,目前著名的資安業者有 Symantec、McAfee、Trend Micro、IBM 和 CA Technologies 等,防火牆專家則有 Irongate、Cisco、Riverbed 等等,為企業提供客制化的完整保護。

四、加強開發工程師或資安人員的安全意識

解決了外憂還需要解決內患。很多低級錯誤其實都是工程師偷懶或者人為造成的失誤,甚至很多是發生在防護資源看起來非常豐富的大企業,所以唯有解決人的問題才能根治。這裡不是說要企業把工程師拿去祭天,而是應該透過內部培訓好好的教育工程師有關資訊安全的重要性。只有加強了安全意識,把保護資訊安全視為企業文化內涵之一,植根在每個員工的心裡,工程師才會將之視為第一要務,從根本開始留意系統設計和程式編寫時,該如何進行更安全的加密、認證或適當地儲存用戶資料(譬如最基本要記得不要明文儲存密碼,還有機密資料紀錄在 Log 時要先屏蔽)。

越來越多公司引入 DevSecOps 這個安全概念,強調在開發的時候就要審慎考慮到安全問題,而不是事後再來補救。同時,在開發期間使用自動化工具加強安全檢測,減低人為失誤(可以參考一下 Oursky 開始實踐 DevSecOps 後開源分享了使用的工具)。

五、現成的解決方案:後端即服務 (Backend-as-a-service, BaaS)

除了以上提到到各種方法,既然登入、儲存資料這類功能相對比較容易出現資安漏洞,企業也可以對症下藥,考慮使用 BaaS 工具來建構後端。BaaS 集合了常用的後端功能,像剛剛提到的用戶登入、認證、雲端儲存等等,足以搭建一個安全、穩定的後台。常見的 BaaS 有 Oursky 的 Skygear、Google 的 Firebase 等。BaaS 服務供應商一般在設計產品時都已經套用高規格安全標準,比如處理密碼、資料儲存 / 傳輸或歷史紀錄等都使用 best practices 來處理。不管是大企業還是小規模的 startup(有些 startup 甚至可能還沒建立自己的技術團隊),都可以藉由使用 BaaS 而無需自行開發登入系統或伺服器,避免了因為工程師不熟悉後端程式碼而寫出漏洞百出的程式這種可能性,又確保了系統的安全性,大大減低資安風險。

企業和用戶齊心合作,才能解除資安威脅

企業和開發人員需要盡力防禦網路入侵,但不等於用戶自己就可以撒手不管,把資安問題全交給企業來處理。用戶可以透過以下的方式來保護自己:

這樣即使不幸被駭客從企業端盜取了密碼,也能減低與其他網站的牽連,盡量把損失減至最低。