資料保護: insider 或 outsider?

網路犯罪以前往往是無差別式機會主義，惡意程式隨機散布，有設備未修補或有人上當就成為受害者。侵入內部後向外滲漏資料，內部使用者可能成為不知情的共犯。

為了討論關於事件和資料外洩，先定義事件與洩漏的差別

Incident v.s. breach

Incident : 危及資訊資產的完整性、機密性或可用性的安全事件。

Breach : 造成確認的未經授權的披露資料（而不僅僅是潛在洩露）的事件。

這二年的手法轉變成有目標性的勒索(Targeted ransomware)，有情感上(民族主義或政治)或財務上的針對性。以往勒索軟體單單只加密本機檔案，受害者可能選擇不付贖金，一切重新來過。偷走資料的目的是為了威脅逼迫受害者支付贖金。

Targeted ransomware 還有一項特色，為了滲透潛伏大多利用APT (Advanced Persistent Threat )手法，有組織有規劃的長期秘密工作，信仰和財務可能是最大的動機；單純搞破壞炫技已不多見。

Targeted還有另一種針對，傾向於遵循一個基本模式：針對組織環境進行規劃。他們研究受害者，瞭解漏洞在哪裡，例如缺少更新或更新失敗，以及員工容易受到網路釣魚活動的影響。駭客了解目標的弱點，然後展開一項活動，讓內部人員不小心誤載惡意軟體。

儘管資料外洩可能是無心之過，但未經授權的竊取並出售個人身份資訊 （PII）或公司專利、營業數據以獲取利益或破壞，則可能會造成組織嚴重損失。

探討資料外洩統計結果，是內部威脅多，還是外部攻擊多?

這個問題在很多專家的統計結果呈現各說各話的局面，這可能跟現在主要的滲透取得資訊動機手法有關。認為外部威脅多的，可能是因為邊際防火牆，及入侵偵測系統上發現並且阻擋到的可疑事件。傳統的安全防護方案著重在外部，對內部的偵測本來就少，或者沒有偵測內部活動的方法；代表內部即使有資料洩漏，也不會被發現，看起來外部威脅比較多的假象。

另外一個原因是，內部威脅(包含已滲透進來的)專業越來越熟練，新的手法還沒被資安系統偵測識別出，就不會知道有內部威脅。想要竊取組織資料的人可能是敵對的外國政府、組織、職業罪犯或憤怒的人士；但他們很可能進入組織成為自己的員工，儘管現在技術進步，仍很難發現可能竊取或洩露資料的員工。

企業的規模、產業別與外洩事件的相關度 

甚麼產業是最可能被覬覦的對象? 鎖定對象針對性的攻擊，具備如此大費周章複雜程序，想必目標的選擇一定精挑細選，高價值目標的高價資產是首選。這代表著，受害的組織可能具備部分或全部特質；如高科技產業、金融產業、或年收上億、或規模夠大，指標性組織(如國防部)等。

台灣的中小企業佔總體97%左右，理論上大部分都不容易成為被針對的目標，雖然有可能遭無辜波及。那為何總覺得這些外洩案例這麼聳動? 因為新聞裡的這些受害企業實在太具備指標性了，甚至有些企業體上述的特徵全部符合。但我們並不排除，以前那種亂槍打鳥式的勒索仍然會存在，只是因為沒利用APT滲透，比較容易被發現。

排除這個最大的外部攻擊，內部人員的威脅對中小企業而言才是防不勝防的。由於主動識別和預防無意或有目的的內部威脅可能非常困難，許多公司實際上意識到了內部人員的風險，但與網路解決方案的領域不同，公司和機構也在為解決方案而苦苦掙扎。

不論外部內部，要防的是資料失竊

由以上的討論發現，外洩防護已經沒辦法分得出內外了，也不可能靠單一的技術來解決。應該回歸到保護的標的物本身: Data的使用、移轉、儲存上面的保護。

資料失竊類型分類與對策：

• 遺失裝置-裝置遺失後，實施註銷管理，資料自動清除等機制。內部儲存資料在未被認證的狀態下，保護其不能被其他平台存取。
• 傳輸活動- 限制不必要的網路傳輸活動，如電子郵件、FTP、IM、雲端存取等，如果必要，留下可供追查究責的證據。
• 可卸除式裝置-防止不必要的存取，或採取有效的寫出管制與加密保護。
• 資產與更新管理-掌握資產狀態，與定期更新修補，防止被利用成為工具。
• 使用者活動-使用者使用檔案的活動，作業系統的事件，程序的活動等，保留與資料存取相關的記錄。
• 第三方存取-儘管採取一切可能的措施來確保內部資料的安全，惡意分子仍可以使用第三方供應商系統進入組織。甚至軟體供應商來源的修補軟體，都可能被植入惡意程式。