網路犯罪以前往往是無差別式機會主義，惡意程式隨機散布，有設備未修補或有人上當就成為受害者。侵入內部後向外滲漏資料，內部使用者可能成為不知情的共犯。

為了討論關於事件和資料外洩，先定義事件與洩漏的差別

Incident v.s. breach

Incident : 危及資訊資產的完整性、機密性或可用性的安全事件。

Breach : 造成確認的未經授權的披露資料（而不僅僅是潛在洩露）的事件。

這二年的手法轉變成有目標性的勒索(Targeted ransomware)，有情感上(民族主義或政治)或財務上的針對性。以往勒索軟體單單只加密本機檔案，受害者可能選擇不付贖金，一切重新來過。偷走資料的目的是為了威脅逼迫受害者支付贖金。

Targeted ransomware 還有一項特色，為了滲透潛伏大多利用APT (Advanced Persistent Threat )手法，有組織有規劃的長期秘密工作，信仰和財務可能是最大的動機；單純搞破壞炫技已不多見。

Targeted還有另一種針對，傾向於遵循一個基本模式：針對組織環境進行規劃。他們研究受害者，瞭解漏洞在哪裡，例如缺少更新或更新失敗，以及員工容易受到網路釣魚活動的影響。駭客了解目標的弱點，然後展開一項活動，讓內部人員不小心誤載惡意軟體。

儘管資料外洩可能是無心之過，但未經授權的竊取並出售個人身份資訊 （PII）或公司專利、營業數據以獲取利益或破壞，則可能會造成組織嚴重損失。

 

探討資料外洩統計結果，是內部威脅多，還是外部攻擊多?

這個問題在很多專家的統計結果呈現各說各話的局面，這可能跟現在主要的滲透取得資訊動機手法有關。認為外部威脅多的，可能是因為邊際防火牆，及入侵偵測系統上發現並且阻擋到的可疑事件。傳統的安全防護方案著重在外部，對內部的偵測本來就少，或者沒有偵測內部活動的方法；代表內部即使有資料洩漏，也不會被發現，看起來外部威脅比較多的假象。

另外一個原因是，內部威脅(包含已滲透進來的)專業越來越熟練，新的手法還沒被資安系統偵測識別出，就不會知道有內部威脅。想要竊取組織資料的人可能是敵對的外國政府、組織、職業罪犯或憤怒的人士；但他們很可能進入組織成為自己的員工，儘管現在技術進步，仍很難發現可能竊取或洩露資料的員工。

 

企業的規模、產業別與外洩事件的相關度 

甚麼產業是最可能被覬覦的對象? 鎖定對象針對性的攻擊，具備如此大費周章複雜程序，想必目標的選擇一定精挑細選，高價值目標的高價資產是首選。這代表著，受害的組織可能具備部分或全部特質；如高科技產業、金融產業、或年收上億、或規模夠大，指標性組織(如國防部)等。

台灣的中小企業佔總體97%左右，理論上大部分都不容易成為被針對的目標，雖然有可能遭無辜波及。那為何總覺得這些外洩案例這麼聳動? 因為新聞裡的這些受害企業實在太具備指標性了，甚至有些企業體上述的特徵全部符合。但我們並不排除，以前那種亂槍打鳥式的勒索仍然會存在，只是因為沒利用APT滲透，比較容易被發現。

排除這個最大的外部攻擊，內部人員的威脅對中小企業而言才是防不勝防的。由於主動識別和預防無意或有目的的內部威脅可能非常困難，許多公司實際上意識到了內部人員的風險，但與網路解決方案的領域不同，公司和機構也在為解決方案而苦苦掙扎。

 

不論外部內部，要防的是資料失竊

由以上的討論發現，外洩防護已經沒辦法分得出內外了，也不可能靠單一的技術來解決。應該回歸到保護的標的物本身: Data的使用、移轉、儲存上面的保護。

資料失竊類型分類與對策：

• 遺失裝置-裝置遺失後，實施註銷管理，資料自動清除等機制。內部儲存資料在未被認證的狀態下，保護其不能被其他平台存取。
• 傳輸活動- 限制不必要的網路傳輸活動，如電子郵件、FTP、IM、雲端存取等，如果必要，留下可供追查究責的證據。
• 可卸除式裝置-防止不必要的存取，或採取有效的寫出管制與加密保護。
• 資產與更新管理-掌握資產狀態，與定期更新修補，防止被利用成為工具。
• 使用者活動-使用者使用檔案的活動，作業系統的事件，程序的活動等，保留與資料存取相關的記錄。
• 第三方存取-儘管採取一切可能的措施來確保內部資料的安全，惡意分子仍可以使用第三方供應商系統進入組織。甚至軟體供應商來源的修補軟體，都可能被植入惡意程式。

「2020臺灣資安大會」原訂於三月舉辦，因為突如其來的COVID-19疫情，延期至8月舉辦。在台灣疫情趨緩之際，精品科技參加並發表X-FORT 多種新型對應方案。一直以來，精品科技憑藉在資料外洩防護的專業服務，共同守護企業資訊安全。不論在傳統上班活動，或者疫情期間遠距工作，乃至後疫情的工作型態，都能提供相對應完整周全的解決方案。

總統蔡英文也蒞臨「2020臺灣資安大會」致詞，表示政府和資安業者站在一起，施政團隊也將在5+2產業創新基礎上，打造六大核心戰略產業；並在「資安即國安」精神下，完成各種施政目標、提升數位國力。並且訪視精品科技展示區，由精品科技董事長劉振漢向總統蔡英文介紹，百分之百台灣獨立研發打造的X -FORT 電子資料控管系統，外銷日本、回銷台灣。會場中X-FORT實機體驗，讓與會參訪者實際操作，體驗新功能EDR(Endpoint Detection and Response)的效果。

近年來增加了不少新型態資安威脅，非典型的破壞方式，也讓傳統的資安系統難以應付。本次發表全新進化的 X-FORT V6.0，在既有X-FORT基礎之上，開發出主動偵測與反應，資料夾防護等新功能，以及強化對遠距辦公的有效支援，更進一步周全資安防護。

追加的「EDR事件主動回應機制」，主動偵測可疑活動，使外洩危害擴大之前能夠有效控制。「資料夾防護」則是以監控應用程式執行、程序及使用者對資料夾存取狀況；防止非信任程序(如勒索軟體)未經授權存取，進而造成資料被破壞。在「遠距辦公」方面，不論在家使用的設備是公司信任的受控管設備，或是非信任裝置，X-FORT 都能有效監控管制，並集中保留記錄。搭配這些強化的機制，不論現在面對疫情工作調整，或是後疫情的工作常態，使工作更有彈性，資料安全管理更有效率。

上下文在安全漏洞管理中，佔了重要而不可或缺的必要地位。不僅如此，上下文帶來的作用遠遠超出了漏洞管理的範圍，並且實際上在企業IT安全的所有領域（尤其是在安全威脅情報方面，以下簡稱情報資訊為情資）都具有重要的意義。安全威脅情報的核心目的是獲取有效訊息資訊，以有效地保護網路及資訊系統。不論在防護上或安全評估當中，Context Analysis意味著更少的誤報和更多的有效發現。令人遺憾的是，由於大部分安全系統缺乏上下文資訊，使得許多防護工作未能取的應有的優勢。

甚麼是Context上下文

根據牛津辭典的解釋，“Context上下文”的定義就是“構成事件，陳述或想法的發生情境，可以被充分的理解和評估”。從這定義中，可以看到出上下文在安全威脅情報的必要性：就是上下文內容在安全威脅情報中提供了有效的清晰度。而清晰度是在處理安全事件時，可以保持高度操作效率的因素。清晰度可以換個角度理解，就是被越少的雜訊干擾就越清晰。

安全事件的清晰度很少是由單一訊息就可以提供的。相對的，它來自專業人士無數的經驗淬鍊和現有手邊可取得的調查跡證。近來在“威脅情報整合”概念的推動下，使得越來越有一種趨勢；朝向更深入的整合黑名單和其他取證蒐集技術。儘管這些情報數據非常寶貴，但缺乏上下文分析，又沒有適當調整，可能會導致資安管理上效率低下，難以成為有效解決方案。

舉例來說，發佈黑名單的依據是基於以IP情報為準。這些組織捕獲的訊息是大量直接勞力工作下的結果。其中包括檢測威脅，弄清它們在做什麼，確定其來源，確定其造成威脅的作法(行為特徵)以及其他訊息。可惜的是，所有這些工作通常都侷限於單一資訊，例如IP地址或DNS名稱。

對於採用該整合情報資訊，作為其關鍵資安政策判斷的人員而言；如此運作的最後結果是導致分析效率低下。這是由於資安專業人員必須操作各種過濾篩選，與經驗判斷過程，才能有效利用所萃取出的情資；並確保這些訊息與網路、設備裝置上所發現的上下文，具有一定程度相關性。

上下文資訊在資安上的幫助

這些情資整合有很大落差（例如單純以IP為基礎的資訊來源）的現象非常普遍，主要是因為要建立包含上下文，具有情報價值的資訊非常困難。以前發展成熟的安全團隊(例如SOC team)，能夠通過大量的團隊合作，和團隊間訊息共享的模式，利用適當的平台整合，建立上下文有關情資。但由於發展至今，訊息體系結構的複雜性和檢測威脅所需的工作量，正在迅速爆量增加，這樣的運作模式已超過人類可合理管理的上限。

最終結果是，我們需要對收集的資訊進行集中化分析，和自動化處理人工手動的程序。目前的現實是，絕大多數已採用的安全技術或產品，大多集中在針對攻擊行為的特定技術發出警報，而不是針對攻擊的起始來源肇因提出警告，因此將偵測的過程高度自動化可能是非常困難。為了更進一步實現自動化偵測，需要將多種安全事件與情境訊息結合起來，以分析事件的上下文關聯的內涵真相，並據此實施正確的反應行動措施。

採取的反應行動策略，主要取決於組織對特定事件類型安全策略。此外，當此事件訊息集中在日誌管理解決方案，或端點資訊監控系統時，對制定上下文分析及反應策略會很有幫助。

 

建立上下文資訊輔助判斷

例如，如果洩漏防護系統、使用者活動監視的事件中心，在發出特定警報的情況之下，為了確定事件的嚴重性，以及對此事件施以適當反應，必須思考以下問題：

由直接資訊判斷

• 什麼事件發出的警報？
• 事件的來源是什麼？
• 造成警報的流量(通訊協定等)的詳細資訊是什麼？是實際攻擊還是誤報？

而上下文資訊可以進一步提供

• 警報可靠嗎？還是因誤判導致？
• 此事件常見嗎？以前是否將類似事件記為誤報？
• 關於事件訊息來源細節？
• 是否曾經因為與流量相關的原因而將其列入黑名單？
• 是否還有其他事件，可能使攻擊者觀察獲得了執行此攻擊所需的權限？
• 系統上是否有相關事件？
• 攻擊前或攻擊後流量異常嗎？
• 是否已知該目標系統，本身容易受到此類攻擊(已知已存在的漏洞)？
• 還有其他有用的訊息嗎？

看起來簡單的警示，若找出有了這些訊息關聯，就可以進一步的過濾不必要的雜訊；精確地觸發自動化反應流程。這是由於包含上下文訊息的安全情報，可以更精確地指出事件肇因所在。最終結果不論人工分析人員或自動化集中式分析，都將能夠更準確地識別問題並提供更好的回應行動。