安全密码管理业者Dashlane于2017年8月10日发布密码安全性排名调查。调查范围包括40个受欢迎的消费性、企业SaaS及媒体服务网站密码性能,结果发现消费者网站当中46%(其中包括Dropbox、Netflix和Pandora等网站)未能实施最基本的密码安全性原则,企业网站当中有36%网站未能提升其密码的安全性,包括DocuSign和云端运算巨头AWS(Amazon Web Services)等网站不具备最基本的密码安全性要求。
1. 各式新兴支付工具兴起,装置安全需更加谨慎
目前在登录网站时,多需要使用者输入密码以进行安全认证,若密码设定太过简单,亦或使用者担心忘记密码,常会多个网站选择一组密码,因而导致安全问题,尤其智慧型手机、NB和电邮密码是全球消费者最易共用的密码类型。由于用户将密码保存在智慧型手机及手提电脑上,而电邮可用来重设其他帐户密码,此类密码共用会导致潜在安全威胁。
一旦被骇客入侵进行资讯追踪或当使用网站遭到攻击,用户极可能遭受损失。随著手机购物氾滥(手机具备个人隐私、行动支付等价值资讯,将来必成病毒更快的散布源),世界各地纷纷传出NFC盗窃,唯有不断加强防护,多一道安全认证才能使用户安心,也因此手机大厂Apple强调安全防护,以指纹辨识或主动叫出卡片等方式来确认付款。
近期出现LeakerLocker新形态手机勒索病毒,其透过受害者的档案加密,以受害者手机上的个人资料传送至远端伺服器,要求受害人支付赎金,否则就将资料发送给通讯录中的每一个人(最常发生个人私密照片散发),目前从Google Play上的恶意程式散布,包括「Calls Recorder」(电话录音程式)、「Wallpapers Blur HD」(散景桌布)及「Booster &Cleaner Pro」(系统优化清理程式)。
除个人装置须防范骇客外,目前资安防护层级更扩及金融和医疗业,例如2017年2月台湾券商遭受史上最大规模骇客攻击,6家分别遭受境外骇客透过分散式阻断服务DDOS(Distributed Denial-of-Service Attack)攻击,下单网页被瘫痪,对方勒索10比特币(约30万元新台币),否则有更大攻击。目前行政院资安处已介入,并提高到国安层级防范。在医疗应用方面,则因与智慧装置连结(平板、手机、穿戴装置等),装置内的资料及装置本身的控制权均可轻易暴露在威胁下,在重视医疗安全反而忽略网路安全下,所产生之资安漏洞。
2. 企业资源有限,应采用不同层级资安防护
2017年有80%以上的企业朝向混合云架构布局,过去企业在数据中心的建置以私有Application、Server、Database透过各种不同安全防护机制做一个自建型态,目前则结合AWS、Azure或OpenStack协议之公有云、企业私有云,将既有的Datacenter与SaaS来做混合云搭配。
换言之,对于资安解决方案需求亦将转为全方位应用,包括在应用程式的防护(Application Protection)上,从Networking、DNS(Domain Name System) Security、DDoS Protection、SSL(Secure Sockets Layer) Inspection、Hybrid WAF(Web Application Firewall)、Web Fraud Protection、IP Intelligence等防护。
另一方面,防骇思维已从前端建立防线,转为中、后端内部存取行为监控、特权帐号、威胁侦测与资料存取等控管。以资安业者F5为例,其应用为中心云战略,包括云计算的可靠、无所不在的安全、业务系统的敏捷,强调在各种部属模型中保证应用服务的一致性,并深入分析应用流量以更好的保护资料资产,进而从复杂的不同云环境中抽离出来,实现应用统一部属和集中管控。
而在企业建置APT(Advanced Persistent Threat)稽核内控机制中,可将资安方案摆在减少被骇成本、困难度、缩短察觉时间并降低损失,透过资讯流与金流分开,摆放云端的方式亦是可采取的作法。
