為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

以駭客之矛攻資安之盾 – 從根本做起網站資安


駭客肆虐全球早已不是新聞。台灣近一兩年傳出的網路攻擊事件,逐漸出現大型集團或是國營企業的名字。難道這些大型企業沒有專門的資安團隊?沒有專業的資安軟硬體?答案當然是否。仍然遭到駭客鎖定,看似如入無人之地發動攻擊、進行勒索,對於企業實質上的營業利潤或是無形上的商譽名聲,皆造成莫大損失。


可惜的是,在服務台灣中小企業的過程中,發現不少中小企業或電商網站都有僥倖的心態,認為自己規模小沒有名氣,駭客不會看上自己的。或者因為人事/營運成本考量下,沒有聘請資安人員,忽視了網站對於資安防護的需求。


俗話說預防勝於治療,在資安領域中可謂同理可證。遭到駭客攻擊的企業需要耗費更多的時間及金錢成本,才有辦法恢復到未受攻擊前的營運水平。


企業遭受攻擊威脅的態勢正在快速演變。DDoS 攻擊、惡意軟體、勒索軟體、資料竊取,與網路釣魚等目標式威脅的數量與日俱增,惡意攻擊者規避傳統資安措施的能力也變本加厲。


越來越多的目標式攻擊手法的勒索案件,駭客透過外部系統入侵,取得機密資訊後,進行內網擴散活動,並使用合法工具掩護將重要伺服器上的檔案加密。


因此,如果不了解駭客如何完成一次成功攻擊的思維與流程,並從駭客的各個攻擊點做好端點防禦,安裝過多不恰當的資安產品或服務,反而徒勞無功。掌握駭客的犯罪思維、攻擊手法,預先找出潛藏危機,甚至做到防患未然,防止未來的攻擊。是資安防護的重要趨勢。


一般來說,網站是結合了作業系統、伺服器環境、應用程式、資料庫等項目的一種服務。所以在討論網站資訊安全時,並不是單純就單一項目進行防禦。而該是以一種整體宏觀的思維及角度去思考整體的防護策略。才不會顧此失彼,左支右絀。


資安業者必須對於作業系統、伺服器環境、應用程式、資料庫有所了解,隨時針對各個項目進行版本更新及補丁的防禦,適時調整各個項目間的設定平衡,避免整體資安架構失衡,反導致某部分產生漏洞,反被利用。透過整合性的合縱防禦,達到減少資安事件的發生。


接觸中小企業多年,近幾年,有賴各大資安廠商及資安大會的強力宣導及推廣,資安意識逐漸抬頭。但一般來說,一般中小型網站系統對於資安防禦力道仍有待加強,尚有改善空間。提供多元的資安工具,協助用戶快速整合進行整合性防禦。一直以來是提供資安服務的一大挑戰。


各種資安威脅不勝枚舉,各種駭客手法也日新月異持續翻新。沒有任何一種防禦方式敢保證百分百不被攻破。我們資安業者也不能抱持著一招半式打天下的心態,認為維持既有的產品和服務就可以了。


對於任何防禦抱持著零信任的態度,時時修正我們的心態,才能建立所謂真正的信任。信任更不是一體適用,也不是永久不變,需要經過充分驗證,才能夠建立的。