就是資安

這幾年景氣不好，因此一些所謂在家兼差的廣告相當盛行。這類廣告幾乎沒有甚麼使用者的身分限制，標榜任何人都可以輕鬆賺大錢。當然，在 21 世紀的今日，兼差已經不需要像以前那般需要搬一堆塑膠花或是電子零件回家組裝，通常只要能夠上網就可以開始賺錢了。這些廣告當然有很多是確有其事，因此吸引了不少人投入，而駭客也已經將腦筋動到這些在家工作的大軍身上。駭客利用不實的廣告，吸引再在家工作者為其進行惡意程式的散布，一旦散布成功就可以依比例獲得金錢的回報。當然，不是所有的駭客都這麼”光明正大”，他們會偽裝成其他合法的行為 (例如進行線上調查)，以欺騙原本善良的在家工作者。根據報導指出，不管採用甚麼名義，如果工作的任務包含下列幾個要項，那麼背後就很有可能是駭客組織在招兵買馬了：

• 散布垃圾信或是社交工程的信件。
• 信件內包含一個下載的網址，相當然爾，這個網址通常是連結到惡意程式。
• 主要以美國與英國的電腦為目標。
• 付費方式也有可能採用一般人常用的線上付款機制，如 PayPal。

雖然這些攻擊的目標目前以英美為主，但是招募的大軍並不需要限制在哪個國家或區域，因此每個人都還是必須多加小心。畢竟如果因此而觸法，那可真的跳到黃河也洗不清了。此外，因為在執行的過程中在家工作者自己的電腦也很容易受到感染，因此如果發現電腦有異狀，請記得盡速自救並審慎評估工作內容。

之前我提到許多次有關社交網站 (尤其 Facebook) 的議題，社交網站現今已經變成許多組織最大的安全威脅來源，而更大的問題在於社交網站該怎麼管對許多組織來說至今仍是沒有足夠的認知。最簡單的管理方式就是把社交網站當作非業務必要的網站，完全加以封鎖。這種做法在管理面與技術面都存在很大的問題，我在之前的文章已經討論過。事實上要達到完全的封鎖是不實際而且不可能的。舉例來說，以現在流行的手機上網 (透過電信網路，而不是組織的區域網路) 來說，有多少組織可以加以管制，而電腦連結手機上網已經不是甚麼困難的任務。

好吧，或許有很嚴謹的組織可以完全限制員工在上班時間的上網行為，那麼下班後呢？下班時間使用 Facebook 對公司會有甚麼危害？有的，有人利用 Facebook 收集了特定公司的員工 Email 帳號，然後針對這些 Email 帳號進行目標式的釣魚攻擊。這樣的目標式釣魚攻擊，透過假冒的組織網站取得員工的帳號與密碼，其成功率相當高 (接近 50%)。當然，公布使用者的 Email 僅是 Facebook 隱私權保護不足之處的一小角，但是對於組織而言卻可能因此遭受極大的風險。這種問題靠封鎖就可以避免嗎？答案很顯然是否定的。事實上，組織能做也是該做的就是訂定明確的網站使用規範，否則這種無心之過將會一再地出現，而組織也必須一再地在沉痛的經驗中加以學習，甚至因此造成組織莫大的成本。

在評估雲端運算時，對於資訊安全的影響是很重要的一個因素。事實上，根據 ISACA 最近公布的一份問卷調查顯示，有高達 45% 的受訪者表示他們認為導入雲端運算所產生的風險是高於所帶來的效益，顯見現今雲端運算的導入對於資訊安全的潛在威脅是很大的。對照另一份由 Ponemon Institute LLC 與 Symantec 所共同發表的研究報告顯示，有高達七成的組織在使用雲端運算前並沒有對廠商進行相關的安全評估。在這些進行評估的組織中，有 65% 採用口頭的方式加以評估，其他評估方式依序是 合約規範 (26%)、檢查表或問卷 (25%)、安全相關的規範 (23%)、內部安全團隊 (18%)、第三方的安全專家或稽核員 (6%)。兩份報告的結論，或許可以看作是因果關係。因為 IT/IS 部門在導入雲端運算時並沒有參與其中的安全評估作業，所以對於其潛在風險自然較為擔憂。另外一方面，這也可以看出現今組織對於雲端運算所產生的安全威脅在認知與作為上仍是相當不足。當然另外一個有可能的原因是組織在面對雲端運算的決策時顯得太過於急躁了。雲端運算來勢洶洶，但是組織在面對這樣的技術與運用時，卻不能被沖昏了頭，以免未受其利而先受其害。研究報告的標題是 Flying Blind in the Cloud，講的正是這種貿然而進的風險，或許一開始馳騁的快感很吸引人，但是一旦出事後其後果可是很嚴重的。

在 Phnemon Institute LLC 與 Symantec 的報告中，其他重要的發現包含：