1.企业IT应用正逐渐朝着云端化/SaaS应用、移动化/信息系统App化以及消费化/BYOD等几个方向发展。

    2.移动设备普及带来设备管理与安全方面的隐忧，进阶持续性渗透攻击（Advanced Persistent Threat，APT）成为IT管理者面临的挑战。

    3.一个让IT管理者不得不面对的课题是BYOD，今年已有许多企业开始陆续进入评估，甚至编列预算准备建置管理机制。

    站在岁末年终之际，回头看今年企业IT应用趋势，不难发现正逐渐朝向云端化/SaaS应用、移动化/信息系统App化以及消费化/BYOD等几个方向发展。

    只是就信息安全层面来看，IT管理者所面临的最大挑战，除了移动设备普及带来设备管理与安全方面的隐忧外，主要威胁几乎矛头皆指向进阶持续性渗透攻击（Advanced Persistent Threat，APT）。

    针对这类目标式攻击的问题，业内人士洪伟淦指出，根据一年来于客户端实地调查发现，遭受攻击的情况确实相当严重，只是受骇单位通常根本不敢声张，一旦确定为攻击事件则立即被列入最高机密处理。以往这类攻击事件并不会被重视，甚至去年只要谈到APT，多数IT主管都认为那是属于政治目的之攻击，只有政府单位才会遇到。自从今年逐渐意识到现代化攻击行为已趋向低调隐匿，企业才开始升起警觉性，思索看似风平浪静的IT基础架构下，究竟有多少未被发现的攻击行为。

    黑客组织化获利模式

    “今年陆续接获客户主动要求检测，也发现的确就是遭受APT攻击，且情况都蛮严重，几乎可说是遍地开花，不论行业别都全面遭遇此类事件。”业内人士洪伟淦强调。尽管台湾近两年高科技制造受大环境景气影响始终低迷，却仍是重要的攻击标的。去年还只是预测企业内部握有专利、营业秘密等核心竞争力资料，势必会成为觊觎的目标，没想到今年就出现许多高科技制造业接连遭受攻击，而发现时，资料往往早就已经被盗走。

    业内人士张嘉渊亦观察到，过去一年来企业端已逐渐意识到社交工程、钓鱼网站、诈骗等攻击的破坏力，而不再只是单纯当成新闻事件看待。”数字战争的利益导向，诱使黑客日渐猖獗。以前犯罪手法算是抢公司保险库，现在则是数据库、档案库，且不容易被发现。得手后再把数字资产到黑市交易变现，可能还远远超过以往犯罪抢夺的有形资产。”

    像是近期出现的CryptoLocker勒索软件，一旦顺利入侵计算机系统后，随即加密系统中所有档案，若不依照指示于期限内支付三百美元（约台币九千元）赎金，档案将永远无法恢复。且支付方式是透过比特币（BITcoin）等在线交易，利用网络虚拟支付难以被追踪的特性，来进行犯罪行为。由此可发现，现代化黑客攻击已经不只以APT手法窃取数据，地下犯罪组织经济规模已成形，最终目的即在于藉此获利。

    重新检视新型态攻击

    现代化黑客攻击具有高度的隐匿特性，想方设法规避各式防御侦测，即使企业内部已建置多层式防护，仍不敌黑客技术。”根据FireEye全球调查报告指出，95%的资安事件，皆是检调单位发现，当然台湾也不例外，这是很可怕的事实。”FireEye台湾区总经理马胜彰表示，就以今年发生在南韩的320黑客攻击事件来看，受影响的银行、电视台等皆属大型企业，不乏最高端的现代化安全防御机制，仍旧被攻击得逞，其实为政府与企业带来不小震撼。根据FireEye对此事件持续研究与观察后续发展，发现这类大规模攻击行为，皆是计划性的预谋犯案。

    “追踪这起南韩320事件后，除了深入挖掘出更多先进攻击手法，更重要的是，从该起事件中学习到，既然资安事件势必会发生，不论是政府、民间企业，必须重新省思，依实际的要求而言：需要多快时间可发现遭受攻击、多快反应可把损害降到最低、多快可修复，以此三大要点来检视资安方面的投资。”马胜彰强调。

    面对信息科技进步的趋势，IT部门需吸收新知建立基本概念，而黑客攻击行为的变化可说是当中不可或缺的一环。如今多数IT主管都理解资安投资永无终止，只是思维上，仍旧局限在传统资安工具。马胜彰观察，主要是来自心理因素影响，若IT主管承认现有的投资不足以因应新型态攻击行为，需要导入新兴防护机制，例如FireEye来协助，则可能会遭受高层管理的质疑，既有资安建置已投入相当多资源，若坦言仍不足够，恐会被认为是管理能力的问题。

    “有时一个对的解决方案，要在企业内部推广时，通常会遇到政治因素问题。所以必须透过许多渠道跟更高层主管沟通，说明这类新型态攻击事件之所以无法被有效控制，并非IT人员疏于防范或技术能力问题，而是黑客攻击技术精进之下，仅以现有的建置来抵制，有防御上的极限。”马胜彰强调，像是FireEye采新兴技术提供的解决方案，主要是为了补强现有的资安投资。尽管现在针对已知型恶意软件的特征码辨识技术，已经能防范大部分既有资安威胁，但面对APT这类未知型攻击行为，必须采有别于以往的技术来辨识与抵制。

    未知型恶意软件的攻击行为，通常有些特定迹象可循。Fortinet技术总监刘乙举例，恶意软件渗入后通常会向所谓中继站（Command and Control，C&C）联系，但由于中继站必须为动态变换才能躲避侦测，于是恶意软件透过算法或程序中内建的名单一一访查时，经常会出现许多联机失败的记录，而以往多功能进阶防火墙（Unified Threat Management，UTM）并没有内建记录这类行为模式，如今则可透过报表或警示来发现。欲察觉出这类可疑行为，IT人员必须具备这方面的概念，并搭配相关工具来协助。

 移动安全逐步发酵

    另一个让IT管理者不得不面对的则是BYOD课题，洪伟淦观察，今年已有许多企业开始陆续进入评估，甚至编列预算准备建置管理机制。其实IT管理者并非不了解移动化设备普及后对管理与安全性带来的冲击，只是在应用趋势促使下，如今已不得不管，因为数量持续增加，再加上开始出现应用系统App化，以趋势科技内部信息系统为例，像是请假、签核、视频会议等日常工作系统，皆可至企业内的App Store下载安装，在移动设备上即可处理公务。然而毕竟员工私人设备，公司要控管有难度，且不管便罢，纳入管理后便相对会产生责任，而IT人员又必须额外掌握众家系统平台相关技术。

    “从所在企业内部信息系统的进化来看，移动化应用会逐步扩及到所有企业，当许多企业已具备时，IT部门自然产生压力，这已是不可逆的趋势。”洪伟淦表示。现阶段较多讨论的问题即在于如何管控，尽管市面上已陆续出现基于不同面向的控管方案，不论是从移动设备本身、App的应用、档案内容的管控，都有其不同限制，因此现阶段多数企业还在持续评估较合适的解决方案。

    张嘉渊亦发现到，本土的企业主面对员工人手一支智能型手机，大多认为可方便员工工作就好，还可藉此节省公司配置成本。因此现阶段多数人对移动设备最在意的部分，主要是担心设备里存放公司与私密数据，万一设备遗失造成数据外流，于是远程清除机制可说是目前控管方案中较受关注的功能之一。

    当然，BYOD议题下绝非只包括远程清除需求，市场上亦有MDM（Mobile Device Management）解决方案提供较完整的控管机制。只是各地区企业文化不同，造就不同应用情境，MDM也非一体适用。张嘉渊以日本为例，多数日本企业认为公归公、私归私，工作上若需要移动设备，该直接由公司配发，要连入内部信息系统时，则以App启动远程的虚拟化桌面来执行，如此一来，即使设备不慎遗失也不致为公司带来资料外泄问题。

    此外，张嘉渊提醒，不论IT应用趋势如何变化，只要企业营运业务握有个人资料，就必须因应个资法规范。即使个资法上路后观察目前多数企业尚未有所作为，但是不代表没有需求，解决方案必须要先准备好。至于究竟要多久时间需求才会浮现，若以日本推动个资法案经验来看，少说要五年时间才会真正发酵，相信不会比严谨的日本脚步更快，还有一段路要走。

    资安威胁将持续扩大

    展望2014年必须留意的资安威胁，马胜彰认为，APT的攻击事件势必会持续发生，今年多数人只是关注议题，在2014年则会逐步实践，因为攻击方不会间断，防守方也必须有所作为。”当然考虑到大环境经济状况，资安设备通常在企业端会被认为是额外的投资，许多企业主都了解资安投资再多也无法达到百分之百，但是切勿认为反正做了也不会有立竿见影的效果，而放弃APT的防御。”

    另一种较为积极的想法可能会认为，面对新型态攻击行为要有基本防护机制。对此马胜彰则建议，为了预防内部发生感染后把重要数据打包送出，对外联机管道至少要具备察觉与阻断能力，至于黑客渗透进入的管道，还必须透过强化内部人员的资安意识来协助，对内倡导当收到邮件含有附加档案时，不仅执行档勿任意开启，须留意是否为不明发件人或奇怪的寄件地址，即使主旨内容看似正常，也切勿轻易开启。

    除了APT攻击外，刘乙认为在移动设备的普及下，甚至智能型手机的出货量已超越桌面计算机，因此以往在线消费行为将逐渐转向手机，而提供电子商务服务的在线系统，会成为黑客有利可图的目标之一。张嘉渊亦认为，移动设备普及带来的问题在2014年将会持续扩大，除了新平台技术、新应用势必产生新缺口外，现代化攻击行为精密程度已超越预期，甚至已到达企业化经营，因此随着移动付费、消费等交易动作越来越普遍，而设备防御措施却相对薄弱之下，势必会成为黑客觊觎的跳板或标的。

    巨量资料助分析攻击

    面对层出不穷的资安新威胁，洪伟淦提醒，企业在评估协助防御的资安机制时，必须要留意考虑是否具”跨平台及跨基础架构”的能力。也就是防护机制必须要能运行在Android、iOS、Windows等主流系统平台，同时，不论是实体主机、虚拟主机、公有云、私有云，控管平台必须都可支持。

    此外，随着黑客运用的工具更广泛，Log分析将越显重要。”当新的攻击模式被证实时，皆是经过分析之后的结果，往后即可依据此结果在Big Data平台制定数据搜集的规则，一旦资安专家从数据中发现此攻击模式下还有其他不同的应用，即可再增添规则持续搜集，这是一个持续不断的循环，且须不断地强化。”洪伟淦说明。

    过去资安防护工具都是仰赖用户回馈来取得数据，现在皆得朝向主动搜集更多信息来分析，因此下一阶段的资安领域会越来越仰赖Big Data技术来协助。洪伟淦强调，由于黑客攻击行为的在地化程度很高，例如攻击政府、高科技制造业、中小企业，这三种产业的方式完全不同，即使是在其他国家已证实可成功抵挡黑客攻击的模式，复制过来也未必能发挥作用。因此必须要由在地化搜集攻击手法来辅助分析，才能得知如何部署防御机制，以抵挡不断精进的攻击模式。