| 媒體專題 |
專訪《零時差攻擊》作者:國家級駭客發動零時差攻擊,關鍵基礎設施是主要標的
刊登日期:2021-11-11
資料來源:iThome
《零時差攻擊》作者妮可‧佩爾羅斯(Nicole Perlroth)任職「紐約時報」擔任資安記者,花七年時間訪談超過三百位受訪者,揭露零時差漏洞對世人帶來的威脅,並追查各種國家級駭客的行蹤。她接受專訪時表示,油水電廠等關鍵基礎設施(CI)都是駭客鎖定攻擊標的,實體隔離是必要的;零時差漏洞雖然是駭客攻擊的武器,卻也是政府自衛的武器,但當政府要掌握這樣武器時,必須權衡相關風險,國家安全不應該成為濫用武器的藉口。
確保資料不外洩,應先進行資料盤點及落實權限控管
問:資料外洩是臺美企業共同面臨的議題,尤其在美中貿易大戰中,保護企業機敏資料和智慧財產權已經成為許多企業的共識。對於保護企業知識產權以避免遭到網路間諜或駭客竊取,有何想法或建議?
答:只要一談到網路安全,我喜歡說:「雖然沒有萬靈丹,卻有萬用丹。」(There are no silver bullets, but there is a silver buckshot.)換句話說,企業可以做很多事情來保護公司的智財權。首先從識別皇冠上的珠寶開始,就是先釐清什麼樣的智財權或是個資隱私資料對企業而言最重要,公司是否已經充分的切割、隔離、加密,並設定只有有相對應權限的人,才能存取相關機敏資料,以期能做到「只有需要知道的人,才能存取相關系統。」
「你審查過供應商嗎?」、「你是否開啟多因素認證?」、「你是否做過魚叉式釣魚郵件的教育訓練和定期演練?」、「你是否強制要求員工使用強密碼?」、「你是否審查過與自家軟體介接的API安全?」、「你是否曾經向員工簡介,要不惜一切代價保護公司重要資產,如同保護皇冠上的珠寶一樣呢?」
一旦上面所有問題的答案都是「是」的時候,就可以開始進行下一步:當有人偷走我們寶貴的智財權時,我們該怎麼做才好呢?這樣有趣的討論,也將會圍繞如何將具有「欺騙性」的技術,納入企業的防禦策略中。這個領域有許多有趣的公司正蓬勃發展中,並且已經受到許多企業的青睞,尤其是那些智慧財產安全將攸關公司存亡與員工生計的企業。
|
