【wepro投稿】資安威脅層出不窮,企業該如何填補資安漏洞?
駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰?
一、定期更新軟體
最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。
二、加入多重身份認證或生物認證
Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有:
- TOTP (Time-Based One Time Password):
透過時間因素產生不一樣的一次性密碼,像是 Google 的 Authenticator 或者銀行的保安編碼器等。 - U2F (Universal 2nd Factor):
使用專門的 USB 或 NFC 設備來進行認證。不少網站像 Google、Dropbox、GitHub 等都有支援。 - 生物認證:
透過用戶的生理特徵進行認證,常見的有智慧手機上逐漸普及的指紋辨識、人臉辨識甚至虹膜辨識,或銀行 ATM 使用的指靜脈辨識等等。
三、制度化與系統化的規劃
如果是比較大型的企業,應該制訂整體的資訊安全策略,且資訊保護應符合公認的標準,著名的有美國國家標準技術研究所 (NIST) 的 cyber framework。同時,需要建立一套完善的保護資料制度,系統化地管理和操作跟用戶個人資料有關的工作。員工在接觸、處理用戶個資時,必須嚴格遵守標準作業流程 (SOP),防止因為個人疏忽而讓駭客有機可乘。資源充足的公司可以跟資訊安全專家合作,目前著名的資安業者有 Symantec、McAfee、Trend Micro、IBM 和 CA Technologies 等,防火牆專家則有 Irongate、Cisco、Riverbed 等等,為企業提供客制化的完整保護。
四、加強開發工程師或資安人員的安全意識
解決了外憂還需要解決內患。很多低級錯誤其實都是工程師偷懶或者人為造成的失誤,甚至很多是發生在防護資源看起來非常豐富的大企業,所以唯有解決人的問題才能根治。這裡不是說要企業把工程師拿去祭天,而是應該透過內部培訓好好的教育工程師有關資訊安全的重要性。只有加強了安全意識,把保護資訊安全視為企業文化內涵之一,植根在每個員工的心裡,工程師才會將之視為第一要務,從根本開始留意系統設計和程式編寫時,該如何進行更安全的加密、認證或適當地儲存用戶資料(譬如最基本要記得不要明文儲存密碼,還有機密資料紀錄在 Log 時要先屏蔽)。
越來越多公司引入 DevSecOps 這個安全概念,強調在開發的時候就要審慎考慮到安全問題,而不是事後再來補救。同時,在開發期間使用自動化工具加強安全檢測,減低人為失誤(可以參考一下 Oursky 開始實踐 DevSecOps 後開源分享了使用的工具)。
五、現成的解決方案:後端即服務 (Backend-as-a-service, BaaS)
除了以上提到到各種方法,既然登入、儲存資料這類功能相對比較容易出現資安漏洞,企業也可以對症下藥,考慮使用 BaaS 工具來建構後端。BaaS 集合了常用的後端功能,像剛剛提到的用戶登入、認證、雲端儲存等等,足以搭建一個安全、穩定的後台。BaaS 服務供應商一般在設計產品時都已經套用高規格安全標準,比如處理密碼、資料儲存 / 傳輸或歷史紀錄等都使用 best practices 來處理。不管是大企業還是小規模的 startup(有些 startup 甚至可能還沒建立自己的技術團隊),都可以藉由使用 BaaS 而無需自行開發登入系統或伺服器,避免了因為工程師不熟悉後端程式碼而寫出漏洞百出的程式,又確保了系統的安全性,大大減低資安風險。
企業和用戶齊心合作,才能解除資安威脅
企業和開發人員需要盡力防禦網路入侵,但不等於用戶自己就可以撒手不管,把資安問題全交給企業來處理。用戶可以透過以下的方式來保護自己:
- 定期更新密碼
- 避免使用容易被猜中的密碼
- 設定夠長、複雜而且無關聯性的密碼(避免使用短密碼或使用自己的名字、生日日期作為密碼元素)
- 避免在不同的網站使用相同的密碼
- 不要明文把密碼抄錄在容易找到的地方,可考慮使用密碼管理軟體
這樣即使不幸被駭客從企業端盜取了密碼,也能減低與其他網站的牽連,盡量把損失減至最低。
本文作者:Oursky
Oursky 是一間創立於香港的 Web / Mobile 軟體開發公司,在香港和台北設有工作室。主力研發數位產品用戶體驗、Skygear.io (Serverless Platform) 和其他開發者工具,協助開發者快速開發 Web / Mobile 產品。
【wepro投稿】
如果你都有觀點、見解、評論想與大家分享,歡迎投稿。
投稿電郵:[email protected]
投稿注意事項:
1)來稿標題請註明「投稿」;
2)來稿者請附上姓名或單位名稱、刊登筆名(如有)、聯絡方式及自我簡介;
3)本站有權決定是否刊登及刪修之權利,修改時恕不另作個別通知;
4)wepro180 擁有登出文章之全部出版權;
5)嚴禁抄襲,投稿者文責自負;
6)若有提供照片或影片,凡請先釐清使用權或知識產權;
7)資源有限,恕暫無稿費;
8)有關載已刊登文章、稿費、約稿等事宜,請與編輯部聯絡。