资安问题的严重性
当碰到资安问题时,会跟着遇到另一个选择题,就是这个问题到底要不要修 ? 就像得感冒的时候可能会考虑不吃药忍一忍,赌自己的身体够健康,但如果中的是 Covid-19 肯定不会犹豫要不要买药,只会担心买不到药,毕竟两者的严重性差太多了。
严重性是在发现问题时决定要不要处理的关键,这通常由发生机率与影响程度来决定,本文要带大家试着从另外一个角度来看,从过去资安事件造成的损失来评估问题的严重性。
数据源
在分析之前先简单介绍一下引用的资料的来源,因为资安事件中包含很多敏感信息,一般的状况下取得详细数据较为困难。
• 机构名称:IC3(Internet Crime Complaint Center)
• 官方网址: https://www.ic3.gov/
• 简介:IC3 是 联邦调查局 (FBI) 旗下的组织,也是美国最大的资安通报系统,主要提供一个可靠、方便的报告机制,以便向联邦调查局(FBI) 提交与网络犯罪有关的信息,IC3 在藉由这些资料进行调查与通知相关执法机构。
分析比较
1. 原始报告内容:IC3 统计了网络犯罪所造成的金额损失,并以犯罪手法的方式来分类。
(数据源:https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf)
从这张表格中我们可以看出前三名分别是:
(1) BEC/EAC:透过电子邮件对汇款或付款信息进行诈骗,使被害者汇钱到攻击者的账户,BEC 指的是攻击对象为公司,EAC 则是针对个人。
(2) Confidence Fraud/Romance:假装成被害者信任的对象,让被害者向攻击者发送有价值的物品或信息。
(3) Investment:诱使被害者根据虚假信息进行购买,通常以高报酬低风险来诱拐受害者。
损失金额最高的 BEC/EAC 与电子邮件有最高的关联性,如果要预防该问题必须要在邮件服务器上做处理,接下来便以问题发生点来分析资安事件导致的金融损失。
2. 资安问题点分析:这边将资安问题藉由发生点分为四类,部分资安事件会有一个以上的类型。
(ex. Phishing网络钓鱼 可能发生在恶意邮件或钓鱼网站)
- 电子邮件 : 在攻击者能成功寄电子邮件给被害者的状况下可能发生的攻击。
- 账号密码 : 攻击者知道被害者的账号或密码后可能发生的攻击。
- 网站 : 攻击者对被害者网站发动攻击,或者反过来诱导被害者连到恶意网站。
- 网络服务 : 在攻击者接触到被害者对外开放的服务(ex. FTP, SMB…)后可能发生的攻击。
所以我们可以看出,在 2020 年有超过一半的损失是来自电子邮件未做好保护,损失第二高的是来自网站漏洞,剩下的一成则是由账号密码外流与对外开放网络服务的所导致。
结论及如何预防?
1.电子邮件 :
要预防与电子邮件有关的资安问题有两个主要目标,第一是降低收到恶意邮件的机会,做好邮件服务器的设定,或者直接选用高安全性的邮件服务,第二是降低恶意信件的影响,建议进行社交工程演练,从中学习收到可疑邮件的处理流程,降低发生率跟影响之后,安全等级自然会上升。
2.网站 :
要提升网站的资安等级则建议先检查有没有常见问题,像是 Owasp Top 10 或是 Cwe Top 25,藉由增加黑客的攻击成本,降低黑客对自家网站的兴趣,接着等到有时间和预算后找第三方厂商做一次完整的渗透测试,由专业的资安团队来检查网站有没有问题,避免球员兼裁判导致疏漏。
3.账号密码 :
要确保账号密码安全则有三件事要注意:
(1)使用高强度的密码,降低暴力破解可能性
(2)定期更换密码,缩短密码外流后攻击的有效时间
(3)避免同一组帐密用在不同的地方,减少帐密外流后的影响范围。
4.网络服务 :
先检查自己的设备对外开放了哪些服务,在检查服务的版本,有这两个信息后就可以到 CVE Detail 查询服务的弱点,如果有弱点的话尽快升级到安全的版本,如果没办法升级,可以考虑利用 VPN 将这些对外服务转成对内服务,避免黑客有直接利用这些弱点的机会。