台湾专家称：网络安全进入后威胁管理时代

　　如果企业自满于网络安全的现状而不持续投资，可能在攻击行为与模式的转变中，成为与信息安全战争中陷落的一群，安全专家说。

　　企业面临的信息安全威胁来源已经从过去外部攻击为主，转向来自内部自己人的入侵与非法访问，CA台湾区技术顾问林宏嘉解释，“那些仍停留在过去外部攻击防范模式的企业，就会像M型社会中被迫向下流动的中产阶级。”

　　所谓M型社会，是日本经济学家大前研一研究自1990年代以来日本社会经济归纳的结果。根据他的说法，随着社会发展失衡，富者愈富，而许多中产阶级渐渐沦为中下阶段。社会经济结构因中产阶级的减少而从倒U型转变为M型。

　　林宏嘉指出，安全的“M型现象”源自网络安全后威胁管理时代下，攻击者与防御者此消彼长的结果。“企业拥有强大防御技术下，攻击事件就会减少，反之，一旦防御工事减少，就是攻击得逞的时候，”他解释。

　　他引用2006年“CSI/FBI计算机犯罪与安全调查”说明，传统一般性攻击手法成功率大幅降低。以病毒而言，在2001年达到高峰(约90%)，之后逐年下降，到2006年已降至不到70%。

　　此外，DoS攻击也从2000年的最高点(70%)降到今年的不到40%。这显示防毒、入侵侦测(IDS)、防火墙等技术已逐渐发生功能，导致已知安全攻击成功的机会下降，他说。

　　然而，这可能并非指灾难的终结，而是另一个开始;“攻击持续袭来的情况下，已知攻击的减少意谓着未知攻击的增加，”而这未知攻击来源，可能就是企业的自家员工，安全专家表示。

　　不幸的是，大部份企业目前仍延续过去的典范，将心力与IT预算用在建立严密的周边安全，阻挡外部攻击上，他说。

　　这也与MIC稍早前公布一份针对台湾地区企业的安全投资研究相符;根据该报告，如何防堵坏人—防御黑客与周边安全—仍然是安全主战场。以产品类别方面，相较于防火墙、防毒等成熟产品，2004-2009年内容安全(16.9%)、入侵防御(IDS/IDP，10.5%)与身份识别与访问管理(17.9%)等产品增长速度最快。

　　报告指出，台湾地区已有企业开始担心来自内部员工的攻击，不过仍属少数。MIC分析师王义智指出，对内部员工不当访问网络资源--包括有意泄露公司机密以及不慎连上网钓网站—感到困扰的企业有9.5%，超过外部黑客的入侵渗透(6.8%)，不过远低于担心病毒的比例(50.8%)其中更有42.5%的企业回答“不清楚”，表示不清楚自己公司网络上的安全状况如何，他说。

　　另一方面，从安全IT投资来看，企业似乎趋向保守。2005年大型企业平均安全支出为新台币37.3万元，其中超过八成大型企业安全支出低于新台币50万元，报告指出。

　　欢迎来到新世界

　　后威胁管理时代一项特征是“黑客”定义的转变，林宏嘉指出，内部员工利用合法权限、通过合法渠道做非法的事，成为企业最可怕的安全威胁。

　　例如今年台湾地区企业发现有员工利用管理者权限将包含重要信息会议的记录通过信道程序(Tunneling)传出去，“过程皆为合法、加上无法监管到信道程序的通讯，企业领导完全无从得知，”他说，

　　企业内部账号缺乏有效管理、离职员工遗留下的“幽灵账号”，以及安全政策执行的松散，都是导致企业资源在“合法情况下”遭不正当存取，以致智能财产、客户资料外泄的原因，林宏嘉指出。

　　令事情更复杂的是，不肖员工可以在网络上轻易找到许多程序。除了信道程序以外，Web mail、近来知名的隐形浏览器“Torpak”或是不知名的P2P或IM程序。“工具俯拾皆是，”他说。

　　他表示，在CA今年处理的数十宗台湾地区员工泄密案件中，企业主在安全人员介入调查前皆毫不知情。

　　新的威胁管理时代下，攻击行为多变难测，如何防御乃成为企业安全人员的挑战。林宏嘉建议企业扩大网络安全防御的纵深，也就是多层次的防御系统;除了购买入侵侦测、防毒、防火墙等对外防御，也应通过内部访问控制、定期更新系统及应用软件、制订严格的角色为基础(role-based)的安全政策、甚至流量纪录的追踪，以便拦阻隐藏在表面下的攻击行为。

　　“和任何事情一样，安全也是如逆水行舟，不行则退，”他说。“你才能在安全防御与攻击者间无止尽的竞赛—或循环(loop)—中超前一步。”