駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰?
一、定期更新軟體
最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。
二、加入多重身份認證或生物認證
Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有:
- TOTP (Time-Based One Time Password):透過時間因素產生不一樣的一次性密碼,像是 Google 的 Authenticator 或者銀行的保安編碼器等。
- U2F (Universal 2nd Factor):使用專門的 USB 或 NFC 設備來進行認證。不少網站像 Google、Dropbox、GitHub 等都有支援。
- 生物認證:透過用戶的生理特徵進行認證,常見的有智慧手機上逐漸普及的指紋辨識、人臉辨識甚至虹膜辨識,或銀行 ATM 使用的指靜脈辨識等等。
三、制度化與系統化的規劃
如果是比較大型的企業,應該制訂整體的資訊安全策略,且資訊保護應符合公認的標準,著名的有美國國家標準技術研究所 (NIST) 的 cyber framework。同時,需要建立一套完善的保護資料制度,系統化地管理和操作跟用戶個人資料有關的工作。員工在接觸、處理用戶個資時,必須嚴格遵守標準作業流程 (SOP),防止因為個人疏忽而讓駭客有機可乘。資源充足的公司可以跟資訊安全專家合作,目前著名的資安業者有 Symantec、McAfee、Trend Micro、IBM 和 CA Technologies 等,防火牆專家則有 Irongate、Cisco、Riverbed 等等,為企業提供客制化的完整保護。
四、加強開發工程師或資安人員的安全意識
解決了外憂還需要解決內患。很多低級錯誤其實都是工程師偷懶或者人為造成的失誤,甚至很多是發生在防護資源看起來非常豐富的大企業,所以唯有解決人的問題才能根治。這裡不是說要企業把工程師拿去祭天,而是應該透過內部培訓好好的教育工程師有關資訊安全的重要性。只有加強了安全意識,把保護資訊安全視為企業文化內涵之一,植根在每個員工的心裡,工程師才會將之視為第一要務,從根本開始留意系統設計和程式編寫時,該如何進行更安全的加密、認證或適當地儲存用戶資料(譬如最基本要記得不要明文儲存密碼,還有機密資料紀錄在 Log 時要先屏蔽)。
越來越多公司引入 DevSecOps 這個安全概念,強調在開發的時候就要審慎考慮到安全問題,而不是事後再來補救。同時,在開發期間使用自動化工具加強安全檢測,減低人為失誤(可以參考一下 Oursky 開始實踐 DevSecOps 後開源分享了使用的工具)。
五、現成的解決方案:後端即服務 (Backend-as-a-service, BaaS)
除了以上提到到各種方法,既然登入、儲存資料這類功能相對比較容易出現資安漏洞,企業也可以對症下藥,考慮使用 BaaS 工具來建構後端。BaaS 集合了常用的後端功能,像剛剛提到的用戶登入、認證、雲端儲存等等,足以搭建一個安全、穩定的後台。常見的 BaaS 有 Oursky 的 Skygear、Google 的 Firebase 等。BaaS 服務供應商一般在設計產品時都已經套用高規格安全標準,比如處理密碼、資料儲存 / 傳輸或歷史紀錄等都使用 best practices 來處理。不管是大企業還是小規模的 startup(有些 startup 甚至可能還沒建立自己的技術團隊),都可以藉由使用 BaaS 而無需自行開發登入系統或伺服器,避免了因為工程師不熟悉後端程式碼而寫出漏洞百出的程式這種可能性,又確保了系統的安全性,大大減低資安風險。
企業和用戶齊心合作,才能解除資安威脅
企業和開發人員需要盡力防禦網路入侵,但不等於用戶自己就可以撒手不管,把資安問題全交給企業來處理。用戶可以透過以下的方式來保護自己:
- 定期更新密碼
- 避免使用容易被猜中的密碼(2018 年最流行使用的密碼是「123456」!)
- 設定夠長、複雜而且無關聯性的密碼(避免使用短密碼或使用自己的名字、生日日期作為密碼元素)
- 避免在不同的網站使用相同的密碼
- 不要明文把密碼抄錄在容易找到的地方,可考慮使用密碼管理軟體(例如 1Password)
這樣即使不幸被駭客從企業端盜取了密碼,也能減低與其他網站的牽連,盡量把損失減至最低。
本篇文章投稿並經 Wepro180 編輯潤飾後刊登於 Wepro180 網站,文章題為《【wepro投稿】資安威脅層出不窮,企業該如何填補資安漏洞?》。
我們的 BaaS 開發工具 Skygear.io 提供完整後端管理服務,有效加快 app 開發速度,縮短整體開發週期,幫助你快速完成產品,早日實現創業夢想。如果你正在尋找合作夥伴一起建立理想中的數位產品,來跟我們聊聊吧!