指揮中心日前宣布全國三級警戒將延長至6月14日,疫情短期之內仍未緩解,大部分企業為配合防疫而採取遠距工作模式,恐怕仍得持續好一陣子。由於遠距工作對各種通訊、線上視訊軟體與網路的依賴程度高,資安風險也隨之增加,資安專家因此提醒,特別是在遠距工作而無法面對面的情況下,身分核實便成資安防護相當重要的第一道關卡,除了要盡量避免使用同一組帳號密碼外,透過雙因子認證達到雙重防護外,也可透過數位簽章機制,加強電子郵件往來的安全性。
擁有國際級PKI安控元件、雲端、區塊鏈資訊安全及行動安全認證技術的捷而思(Jrsys),是一家百分百台灣自主研發資訊安全的國際資安公司,針對疫情下的資安防護,捷而思董事長吳建東也分享幾點看法。他首先表示,實施遠距工作期間,企業一般會透過Windows遠端桌面連線(RDP)存取企業內部環境,或開放VPN,讓員工連線進入公司內部網路兩種方式。但隨著全球WFH需求激增,也已經讓駭客將目標轉移到這兩種入侵的管道上。
因此吳建東強調有兩點需要特別注意,針對遠端桌面連線部分,目前遠端桌面的連線預設為Windows常見的連接埠3389,因此對於想要惡意攻擊連線的駭客來說,只要知道這台電腦的連接埠3389,就會找機會進行攻擊,而如果使用者的電腦不常更新,或是沒有安裝防火牆、防毒軟體,就更有機會被入侵。
尤其使用非常容易取得的密碼又更危險,吳建東指出,駭客可以透過不斷測試以取得個人帳號密碼,一旦成功駭客就可以循線登入公司內部Server,危害恐將一發不可收拾。因此使用者最好應更改遠端桌面常用的TCP 3389連接埠,將其改到其他的連接埠以降低風險。
不過,即便改到其他連接埠,駭客仍可能會掃描試探所有連接埠,而如果回應的是RDP訊息,駭客就能知道這裡提供RDP服務,因此吳建東建議,最好的防禦方式,是要採用雙因子認證較安全。
而使用VPN連線至公司內部網路也是相當常見的做法,但由於VPN伺服器也是常被攻擊的對象,因此吳建東建議,首先要確認伺服器是否為最新版,密切注意是否有更新或修補程式。吳建東舉例,先前就有某台灣企業針對未修補的漏洞通知原廠,但卻未獲對方即時處理,也因為原廠未及時修補漏洞,進而讓整個客戶群都不幸遭駭,雪球越滾越大,這不見得是使用者的問題,因此企業除了加強自身防護外,也得密切注意原廠動向。
而員工上班,免不了需要登入公司系統進行郵件收發、資料存取或資料交換等,由於遠距而無法面對面,這也讓身份核實成為企業資安防護下相當重要的第一道關卡。
不讓帳密成破口 動態密碼雙重保障
別小看一個登入帳號密碼的動作,也可能成為資安破口。吳建東表示,有的使用者不管是登入公司系統,或是參加活動時登入外部報名網站,一般人的習慣是一組帳密走天下,但事實上,這樣做反而是給駭客一個方便。
帳密等同於數位鑰匙,一旦帳密遭竊,為了保護網路和資源而建構的任何實體管控與反制措施恐都將失去效用。因此吳建東建議,不管企業採用遠端桌面連線或VPN,都應該啟動雙因子認證,例如透過Microsoft Authenticator 或 Google Authenticator等的身份驗證器產生的動態密碼(One-Time Passwords,OTP)機制,藉由其時效限制的特性,時間一到就會由新密碼取代,換言之,使用者每次登入所使用的動態密碼都不會是相同的,這讓原本簡單靜態的使用者帳密在進一步整合動態密碼後,改變成比較難攻擊的本質。
數位簽章降低實體接觸機會
由於居家辦公或減少非必要的外出,使得人們現在對外界情勢的掌握,多半只能透過網路消息傳遞,而這也讓駭客更加活躍,藉由偽冒學術單位或公司的網域名稱發送郵件,以全球關注的時事議題引誘收件者點擊打開信件,甚至進一步誘導連線至惡意網頁,進而竊取郵件帳密。
面對駭客詐騙手段層出不窮,企業如何從中辨識發信者來者不善?吳建東因此建議企業應盡快協助員工在用戶端建立等同於身份識別的數位簽章憑證,以確保寄信端和收信端在往返電子郵件時,資料的完整性與身份驗證。
數位簽章是讓使用者建立一組公鑰(Public Key)與私鑰(Private Key),私鑰用於對電子郵件做加密及簽名,而公鑰則用於對訊息做解密及驗證。吳建東指出,這樣的好處是能夠便於收信端藉由數位簽章辨識寄信者是否為本人,而往來的回信內容也會藉由雙方的憑證多一道加密動作,確保資料的安全性。
而數位簽章的好處,不僅在於身份識別,還可以降低實體交換的接觸。吳建東說,事實上國外已出現有企業員工因收取客戶寄來的實體合約書而染疫的真實案例,即便沒有面對面接觸,任何實體文書的交換,仍可能存有風險。
而吳建東也觀察到,目前採用數位簽章機制的單位多以政府單位或金融單位為主,為數不多,但在數位化年代,傳統紙本簽核本就越來越沒有效率,加上疫情肆虐,許多企業紛紛實施居家上班或分流上班制度,這讓線上簽核顯得更加重要,因此他也建議,像這樣的機制應盡速在台灣各企業普及,而企業可透過工商憑證,甚至一般使用者也可以透過報稅時常會用到的自然人憑證作為電子郵件數位簽章,而不須額外採購憑證,不僅可以有效強化電子郵件的安全性,也可因此加快整體工作流程。