資安弱點會造成多大損失 ?

# 資安弱點會造成多大損失 ?

# 前言

當碰到資安問題時,會馬上跟著遇到另一個難題,就是這個問題到底要不要修 ? 就像得感冒的時候可能會考慮不吃藥忍一忍,賭自己的身體夠健康,但如果中的是 Covid-19 肯定不會猶豫要不要買藥,只會擔心買不到藥,畢竟兩者的嚴重性差太多了。

嚴重性是在發現問題時決定要不要處理的關鍵,這通常由發生機率與影響程度來決定,本文要帶大家試著從另外一個角度來看,從過去資安事件造成的損失來評估問題的嚴重性。

# 資料來源

在分析之前先簡單介紹一下引用的資料的來源,因為資安事件中包含很多敏感資訊,一般的狀況下取得詳細資料較為困難。

# 分析比較

# 1. 原始報告: IC3 Annual Report

IC3 統計了網路犯罪所造成的金額損失,並以犯罪手法的方式來分類。

https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

從這張表格中我們可以看出前三名分別是

  1. BEC/EAC:
    透過電子郵件對匯款或付款資訊進行詐騙,使被害者匯錢到攻擊者的帳戶,BEC 指的是攻擊對象為公司,EAC 則是針對個人。
  2. Confidence Fraud/Romance:
    假裝成被害者信任的對象,讓被害者向攻擊者發送有價值的物品或資訊。
  3. Investment:
    誘使被害者根據虛假信息進行購買,通常以高報酬低風險來誘拐受害者。

損失金額最高的 BEC/EAC 與電子郵件有最高的關聯性,如果要預防該問題必須要在郵件伺服器上做處理,接下來便以問題發生點來分析資安事件導致的金融損失

# 2. 分析報告: 問題點

這邊將資安問題藉由發生點分為四類,部分資安事件會有一個以上的類型。
(ex. Phishing 可能發生在惡意郵件或釣魚網站)

所以我們可以從這張圖看出,在 2020 年有超過一半的損失是來自電子郵件未做好保護,損失第二高的是來自網站漏洞,剩下的一成則是由帳號密碼外流與對外開放網路服務的所導致。

# 結論

接著分享一下如果要遇防問題發生該怎麼做。

  1. 電子郵件 : 3240 million
    要預防與電子郵件有關的資安問題有兩個主要目標,第一是降低收到惡意郵件的機會,做好郵件伺服器的設定,或者直接選用高安全性的郵件服務,第二是降地惡意信件的影響,建議進行社交工程演練,從中學習收到可疑郵件的處理流程,降低發生率跟影響之後,安全等級自然會上升。

    如果要做郵件伺服器的設定,又不知道從何開始,可以參考技術部落格的另一篇文章。
    關於 email security 的大小事 — 原理篇

  2. 網站 : 1749 million
    要提升網站的資安等級則建議先檢查有沒有常見問題,像是 Owasp Top 10 或是 Cwe Top 25,藉由增加駭客的攻擊成本,降低駭客對自家網站的興趣,接著等到有時間和預算後找第三方廠商做一次完整的滲透測試,由專業的資安團隊來檢查網站有沒有問題,避免球員兼裁判導致疏漏。

  3. 帳號密碼 : 349 million
    要確保帳號密碼安全則有三件事要注意

    1. 使用高強度的密碼,降低暴力破解可能性
    2. 定期更換密碼,縮短密碼外流後攻擊的有效時間
    3. 避免同一組帳密用在不同的地方,減少帳密外流後的影響範圍。

    這邊推薦一個網站可以查詢自己的帳號密碼是否已經外流
    have i been pwned?

  4. 網路服務 : 188 million
    先檢查自己的設備對外開放了哪些服務,在檢查服務的版本,有這兩個資訊後就可以到 CVE Detail 查詢服務的弱點,如果有弱點的話盡快升級到安全的版本,如果沒辦法升級,可以考慮利用 VPN 將這些對外服務轉成對內服務,避免駭客有直接利用這些弱點的機會。

Tag

Recommendation

  1. Android App 逆向入門之三:監聽 app 封包
  2. 防駭客的基本認知: 資料保護
  3. 關於我在 Glints 找到的高風險漏洞
  4. CPSA(CREST Practitioner Security Analyst) 資安分析師考試心得
  5. DNS Hacking 之 電話簿攻防之術:DNSSEC、DoT/DoH

Discussion(login required)