2014 年，每隔几周就有毁灭性的资讯安全问题被揭露。但资安不是一天两天的事，也不仅只是媒体报导被骇单位的事，从“NORSE”网络攻击实况网站上，就能一目瞭然地看到随着光纤网络横越整个地球的骇客攻击活动，其速度之快加以众多数量，让人措手不及；然而意外的是，根据网络设备及技术供应商思科（Cisco）所做的“2015 年度安全报告”指出，产业界里 75% 的首席资讯安全官都相信公司所使用的安全工具非常或极为有效。但如果有效，资安问题怎么还会层出不穷？

略数 2014 毁灭性资安事件：2014 年，Sony 影业被骇，110 TB 的资料被骇客偷走，包括还未上映的电影，以及详尽的员工个资，公司电脑硬盘里的资料更遭撤底抹除。摩根大通被骇，近 7,600 万个家庭及 700 万家小型企业等客户的资料外泄，摩根大通在骇客攻击移动开始后两个月才察觉受骇。韩国核电厂网络被骇，电厂平面图等敏感资讯外泄，骇客以此威胁韩国关闭核电厂反应炉。美国白宫网络遭骇，但白宫强调骇客入侵的是“总统办公室的非机密网络”，没有机密资料丢失。卡巴斯基实验室揭露名为“暗黑饭店”（Darkhotel）的 APT 攻击，骇客藉由入侵饭店 WiFi 再入侵房客的电脑，锁定对象为制造、投资、国防、汽车等企业高端主管，范围包含台湾、中国、日本、韩国等亚太地区国家，此攻击移动至少从 2007 年开始。

从国际影视、金融巨擘，到国家公共事业，甚至政府，再到公共区域的WiFi，无一幸免，那上述 75% 相信公司所使用的资安工具“非常或极为有效”的资讯安全官，似乎太过有自信。

连 OpenSSL 都没更新，却还认为资安工具已是最新版本且安全无虞

至于真实情况是什么样子，身为“防御者”的资安工作者，以及身为“使用者”的每一位企业员工，都可以从“思科 2015 年度安全报告”开始看起。

思科访查不同国家、不同规模企业中担任资讯安全职务的员工共 1,738 人，就公司投入到网络安全的资源，安全营运、策略和规程，以及网络安全营运的完善度三方面受访。91% 的受访组织表示由高端主管直接负责安全事务，高达90% 的公司对自己的安全策略、流程和程序很有信心。

不过在接下来的报告中写到，只有 64% 的受访者称，自己的安全基础设施非常先进，还利用现有最好的技术不断升级；另有 33% 是定期更换或升级安全技术；最惨的是 3% 在原有安全技术无法使用、已过时或有全新需求时，才会更换或升级安全技术。

▲只有 64% 的受访者声称，自己的安全基础设施不断升级、非常先进。（Source: 思科 2015 年度安全报告）

还不只如此，去年 4 月开放源代码套件 OpenSSL 爆出 HeartBleed 漏洞，能让骇客入侵服务器内存窃取敏感资料，预估影响全球 2/3 网站；但思科安全部门利用扫描引擎检查使用 OpenSSL 套件的设备，发现 56% 的设备使用 50 个月之前的 OpenSSL 版本，意味这些网站管理员根本没有将安全设施更新至最新、修补过的安全版本，让网站暴露在被攻击的风险中，与 97% 称“资安设施非常新、定期更新”的状况并不符合。

检测不是 100% 有效，透过 AMP 追杀漏网之鱼
（Source:flickr/ hombredenegro CC by 2.0）

除了资安工具更新速度慢是个问题，资安工具是否能抵御现在的网络攻击形态，并在受攻击时及时解决问题，也是企业应学习的课题。思科认为大多数企业在资安防护的盲点为：将全部努力都放在检测与拦截上。

检测与拦截随着攻击方式翻新，进阶持续性渗透攻击（APT）蔓延，以及员工使用自己的设备工作，已变得更加薄弱。在移动设备功能愈趋强大之时，携带自己的设备（BYOD，Bring Your Own Device）如手机、平板、笔电进公司已成为常态，但员工在工作之余的上网浏览习惯以及上网环境，很可能一不小心就中了骇客布下的钓鱼陷阱、垃圾邮件、水坑式攻击，当被感染的设备连上内网，就会为企业带来资安危机。

思科提出，面对无孔不入的攻击，资安工作者必须认知“网络一定会遭入侵”的事实。也因此企业应该要采用进阶恶意软件防护（Advanced Malware Protection, AMP）的解决方案，依“防御三阶段”在攻击的前、中、后，都能针对攻击活动进行检测、确认、分析、跟踪，以及适时的修复。

攻击前：检测漏洞、强化管理。靠传统防火墙和端点保护措施，阻挡一年数十亿的垃圾邮件。攻击中：即时分析、有效跟踪。其中分析功能，就是将已避开检测、进入企业内部的恶意软件，透过其在网络的活动行为、档案用途，以及根据庞大的恶意软件样本资料，再次判定出其为恶意软件；而跟踪功能，就是当恶意软件进入终端设备并扩散后，能够让资安工作者追踪恶意软件移动的轨迹与行为，追溯每个曾与其接触的设备。攻击后：损害控管、资源回复。在上述两个功能发挥作用之后，最后无论恶意软件是在何时最终定性，都能一一清除受影响设备的恶意软件。思科2015年度安全报告，资安思维教战手册

思科在 2013 年并购资安公司 Sourcefire 后，就加入 Sourcefire 开发的 AMP 功能，不但能作为新一代 IPS 或新一代的防火墙，还能为个人电脑、移动设备和虚拟环境提供端点防护。

随着网络活动愈加频繁，网络上的资产也愈加丰富，因此骇客不断翻新手法，虎视眈眈地盯着每家企业握有的数据库。思科 2015 年度安全报告中分为四大部分，分别介绍 1.详细的攻击手法研究 2.企业资安现况访查，同时提供思科建议的企业资安防护基准 3.地缘政治和各行业的资安趋势 4.使用者和企业高层看待网络安全的视角建议。