2004/11/08

亞太區企業同時面臨內、外部資訊安全威脅夾擊

企業運用資訊科技 (IT)最重要目的不外乎是作為優化商業營運的一種工具，並期望可以減少總體持有成本 (TCO) ，以利企業在競爭的商業環境下維持其競爭優勢。但在企業內部系統與企業外部環境彼此間的溝通與緊密關係，將可能會大大增加企業系統曝露在弱點環境下的機會，因此要做好防護企業環境下的每個環節，並對抗任何形式的攻擊，是每個 IT 管理人員永續的任務。
此外，企業必須了解他們所面臨的資訊安全，包含各種不同層面及透過不同管道，而後才能進行有效的防範工作。因為有越來越多的資訊安全威脅都是透過媒介傳遞，因此通常企業會將很多資源都放在保護企業網路上，以對抗來自外部的網路安全攻擊，但企業往往因此而忽略了來自內部的資訊安全威脅。這些來自企業內部的資訊安企問題包括專門盜取企業資訊的竊賊或是商業間諜，尤其商業間諜可能對企業造成的傷害常會大過於前者。
基本上，企業正在面臨的三種資訊安全威脅型式， 包括：

• 外部威脅（External threats）：外部威脅可以細分為應用軟體（application）、內容（content）與網路（network）威脅，這也是在媒體公佈成長最快的威脅之一。因此，毫無意外的，企業也傾向投入更多資源來保護公司網路以對抗這類資訊安全威脅。
• 內部威脅（Internal threats）：在企業內部最容易被忽略的便是內部威脅。內部破壞的失察，如：公司資訊的剽竊與監測，對公司來說是個重大的安全風險，這種威脅帶來的破壞性甚至比遭遇外部威脅來的更嚴重。
• 新型態的威脅（Emerging threats）：這類資訊安全威脅通常發生在企業開始採行新技術時，如：無線區域網路（Wireless LAN, WLAN）或無線辨識系統（Radio Frequency Identification, RFID）。企業已開始察覺到與這些新技術相關的弱點，當這些新型態威脅出現時將會提高對上述新技術管理的困難度，特別是如網路詐騙（phishing scamming）和無線威脅（wireless threats）。

網路釣魚 (Phishing) 已快速興起成為新型非暴力型犯罪

在《2004年亞太區（不含日本）安全威脅》報告中提及，最近出現的網路欺詐行為——“網路釣魚”（Phishing）——已經對亞太區（不含日本）進行電子商務的企業造成嚴重問題。這種盜取用戶資訊的犯罪活動最近已經成為該地區增長最快的非暴力犯罪行為之一。犯罪分子每天要發送數以百萬計的“釣魚郵件”，誘使收件人透露其個人資訊和財務資訊。

誘騙(spoofing)和偽造網站(social engineering)是網路欺詐分子用來“釣魚”的兩種最為常見的方法。利用誘騙的方法，欺詐分子大量隨機散布垃圾郵件，希望誘使一小部分警惕性較低的收件人提供其財務資訊。而另一種方法，偽造網站，指的是用看起來像是合法和可信的電子郵件地址，例如AOL、eBay 等的帳號，來騙取收件人的信任，從而誘使其提供財務資訊。

在最近發生在香港的一次“釣魚事件”中，某家銀行至少有十餘名客戶被誘使點選連結進入一個假冒該銀行網站網址，並在這個假冒網站上提供了他們的個人財務資訊。這一事件引起了網上交易用戶的極大顧慮。因此，金融企業現在面臨一項非常重要的任務：讓其客戶清楚地了解正常的溝通管道，並提醒他們要小心任何要求用戶提供財務資訊的各種名目的“緊急”郵件。

IDC (國際數據資訊) 認為，電子商務的成功與否，取決於消費者對網上購物的信任程度。商家和消費者之間經過許多年才建立起來的信任感和客戶關系，只需要一次重大資訊安全意外事件就可以在瞬間毀於一旦。

亞太地區各國政府已經在積極採取各種措施來防範、打擊各種網路犯罪行為，包括：逮捕不法入侵者、進行公眾教育推廣個人電腦應用防毒保護措施，告誡用戶不要點選可疑郵件中的超連結(hyper-links)等。最近以來，一些信用卡公司也開始與資訊安全解決方案供應商合作，運用Web 搜索技術(Web crawling techniques)來搜尋黑市信用卡藏匿點，從而及時封鎖那些“釣魚”站點，防範其信用卡用戶遭受誘騙。

‘網路釣魚’是最近出現的針對網路用戶下手的嚴重資訊威脅。IT行業必須不斷地和網路欺詐和‘釣魚’等犯罪活動作鬥爭，以防止其公司聲譽遭受重大傷害。

完整的資訊安全防護包括3P，而3P在IT安全的重要性：