掌握數位轉型資訊安全 協助保險業打造人生最後防線

保險最重要的目的，便是幫助人與企業「規避風險」，確保人身與營運安全。對保險公司而言，替規劃客戶評估企業的營運風險，更是重要的核心能力。然而，身為協助客戶規劃、評估風險、決定風險價值的保險公司，經常也成為「有心人士」的目標，不論是偷竊資料庫、竊取員工文件、甚至直接對客戶下手，都是保險業每天實實在在面臨到的風險。

該如何讓自己在驚濤駭浪的網路攻擊中存活？確保企業內部或雲端上的資料庫安全無虞？保護員工在外使用企業應用系統的資料安全？甚至在公司網路之外守護客戶不被假冒網站欺騙？

強化企業網路韌性　回應資訊安全挑戰

新興科技的出現，從物聯網、雲端到金融科技(Fintech)、機器人、區塊鏈，企業帶來轉型的契機，同時也帶來安全挑戰。資安顧問公司認為，企業因應之道是培養高度的網路韌性(cyber resilency)。

隨著網路安全攻擊持續增加且複雜化，金融業面臨險惡的安全威脅。首先，社交工程是當今企業面臨最大的安全威脅之一，包括金融業在內。根據研究，90%的人提供電子郵件時不會確認對方身份，67%會提供身份證字號、出生日期或員工編號等隱私資訊。其次，研究顯示，59%的員工在離職時會竊取公司重要資訊。一旦企業網路或系統出現漏洞遭到入侵，攻擊者潛伏期平均為205天，而且漏洞往往都是由外部單位（如警方）告知他們才知道。

今天網路威脅來自四面八方，有國家贊助的駭客集團、有想竊取企業機密的商業罪犯、意在錢財的歹徒、心懷不軌、疏忽大意的內部員工或委外廠商，或是宣揚特定政治意識型態的駭客行動主義人士等，他們利用發展出各種狡猾的惡意程式及高明感染手法，DDoS、APT攻擊、銀行木馬、勒贖軟體、無檔案攻擊程式等入侵企業網站、閘道、用戶終端及核心資料庫，以遂其財務、商業或政治目的。

安永企業管理諮詢服務經理曾子瀅指出，危險環伺的今天，當組織只能在安全事件發生後才被動回應，往往為時已晚。幾十年來大部分金融保險機構已建置一定的自我防衛能力，現今的資安重點應放在網路韌性(cyber resiliency)。網路韌性有三大元素：意識（偵測威脅）、防禦（組織保護罩）與回應（災害復原能力）。企業可透過以下方法提升發現威脅的能力，包括接收網路威脅情報、建立安全監控中心(SOC)及資料庫行為監控，找出弱點所在、建置主動防禦機制。根據保險業一項調查，還有約65%的保險公司尚未建置 SOC 或擁有非正式的威脅情報中心，這也成了一項資安隱憂。

第二，企業應培養主動防禦的能力，即透過有計畫且持續執行的活動，以識別與擊敗隱藏的攻擊者。但是該怎麼做？曾子瀅表示，設計靈活的作業周期(operational cycle)，達到快速回應及加速學習的效果，並結合網路威脅情報，對駭客行為進行分析及提供洞見、建議，但她也強調，主動防禦重點在主動出擊及加強防禦，並不能取代現有安全監控及事故回應機制。

另外，她提醒，高階主管的支援尤其攸關企業安全的建構，然而根據一項調查，32%的受訪者高階主管意識不夠、未提供足夠支持，82%的受訪者表示董事會中，沒有資安主管。事實上，去年發生重大網路安全事件的企業裏，超過一半對財務損失毫無概念。這種對資安的輕忽將減弱資安防禦的部署。

至於回應方面，主旨在建立一個集中式的網路侵害回應計畫(CBRP)。有相當多的企業沒有制訂安全事件發生時，對內溝通及對外的回應計畫，例如客戶資料外洩時，將近一半的保險業不會通知客戶，這將對嚴重損及公司商譽。曾子瀅指出，CBRP小組由科技、法規及業務單位主管組成，旨在藉由建立日常操作模式(business practice)及安全事件的回應戰術，確保安全事件發生時減少損害、維持業務持續運作，並協助損害的復原。
最後，確實辨識公司重要有形與無形資產、掌握公司策略方向及各關係利益者(stakeholder)的需求、平時則應做好風險評估及控制、因應威脅型態及攻擊者的演進而制訂出回應策略，才能強化組織的「韌性」，確保企業的安全及長治久安。

在效能與安全間取得平衡的資料庫防護方案

資料庫作為重要資訊寶庫，又攸關企業營運效率，如何在確保營運效率及安全之間取得平衡，是資安界的恆久議題，也促使資料庫安全技術不斷演進。

談到資料庫安全，最常見的解決方案是加密。透過只有有權限者才能解密、看到明碼資料，經過加密的資料庫一旦被竊或備份出去，外人也無法讀取資料，是相當安全的作法。

亞利安科技資安技術支援部經理王添龍指出資料庫加密的幾項缺點。首先是對效能影響巨大。原因是資料庫經過加密後，未來要處理資料庫指令前必須解密所有資料，對企業營運效率影響尤大。第2項問題是誰有權限解密？資料庫帳號往往只限於少數幾個人，一旦要查詢資料就必須動用少數帳號，這不但嚴重影響作業靈活性，也會讓這少數人疲於奔命。此外，應用系統往往共用一組帳密，而且該帳號就擁有最高存取權限，這意謂著只要從應用漏洞入侵企業內網即如入無人之境，讓資料庫加密形同虛設。

第3項問題在於經過加密的資料庫欄位使用有限制。像是欄位無法排序，影響使用彈性，資料表格互相參照可能出錯、資料庫加密需要改程式。另外，企業還得考慮索引(index)需不需要加密，比方說以身分證字號當作索引值，否則減損了加密效果。

王添龍指出企業資料庫防護的目標是從各個面向保護重要資料，在應用程式端完全封鎖未授權的非法存取行為，在作業系統層，使資料庫管理員也不得以任何方式存取明碼資料，而在硬碟端，則要做到即使硬碟被搬走也不會資料外洩。而一個較好的做法是，資料庫端採用加密，使管理員也無法看到明碼資料、而進階威脅（如APT）取得最高權限也沒有用，最好能有不影響效能的解決方案，免停機即可加密。

另外，在應用程式和資料庫之間採用稽核防禦，結合白名單可以監控並阻擋異常存取行為、保留稽核軌跡，且此類作法也不影響資料庫運作效能。利用植入代理程式(agent)可解決閘道方案集中加解密減低資料庫效能的問題，而加密金鑰則利用金鑰集中管理平台確保存取安全。另外，應用程式和資料庫之間加裝動態遮罩，可以監控異常存取行為，而且由於只有有限權的人可以存取所有資料，因此前端用戶看不到完整資料。
在測試環境下則需使用不同的防護方案。在開發測試階段人員複雜，而且為求方便，一般此類系統權限會對所有人開放，此外隨時可能多一個伺服器要管理。如果貪一時方便，借用生產環境的資料，則取得資料管理員權限的人士或APT惡意程式將得以長驅直入，讀取明碼資料，或將資料庫備份外流。

根據銀行業的PCI(Payment Card Industry)規範，正式資料庫的資料不得用於開發測試，以免客戶資料外洩，這是最根本的解決方案。在正式資料庫及測試資料庫之間架設符記化／靜態遮罩，可以將真實資料（如客戶資料）全數轉換成假資料，不用費心管理稽核，開發人員任意開發、測試，應用程式也不需修改，達到一勞永逸的防護效果。

現今隨著駭客攻擊手段日愈進步，資料庫遭遇分散式阻斷攻擊(DDoS)癱瘓的事件不時可聞。根據統計，59%的 DDoS 的攻擊流量超過1G，而超過10G的流量比例為23%，企業可以購買市面的阻擋設備，或是採用雲端流量清洗服務，依企業規模選擇流量方案。而 Imperva 則是市面上唯一不限流量的網站 DDoS 流量雲端清洗方案 Incapsula。

完整內容請見：https://goo.gl/VQvhg5