2014 年，每隔幾周就有毀滅性的資訊安全問題被揭露。但資安不是一天兩天的事，也不僅只是媒體報導被駭單位的事，從“NORSE”網絡攻擊實況網站上，就能一目瞭然地看到隨著光纖網絡橫越整個地球的駭客攻擊活動，其速度之快加以眾多數量，讓人措手不及；然而意外的是，根據網絡設備及技術供應商思科（Cisco）所做的“2015 年度安全報告”指出，產業界里 75% 的首席資訊安全官都相信公司所使用的安全工具非常或極為有效。但如果有效，資安問題怎么還會層出不窮？

略數 2014 毀滅性資安事件：2014 年，Sony 影業被駭，110 TB 的資料被駭客偷走，包括還未上映的電影，以及詳盡的員工個資，公司電腦硬盤里的資料更遭撤底抹除。摩根大通被駭，近 7,600 萬個家庭及 700 萬家小型企業等客戶的資料外泄，摩根大通在駭客攻擊移動開始后兩個月才察覺受駭。韓國核電廠網絡被駭，電廠平面圖等敏感資訊外泄，駭客以此威脅韓國關閉核電廠反應爐。美國白宮網絡遭駭，但白宮強調駭客入侵的是“總統辦公室的非機密網絡”，沒有機密資料丟失。卡巴斯基實驗室揭露名為“暗黑飯店”（Darkhotel）的 APT 攻擊，駭客藉由入侵飯店 WiFi 再入侵房客的電腦，鎖定對象為制造、投資、國防、汽車等企業高端主管，范圍包含臺灣、中國、日本、韓國等亞太地區國家，此攻擊移動至少從 2007 年開始。

從國際影視、金融巨擘，到國家公共事業，甚至政府，再到公共區域的WiFi，無一幸免，那上述 75% 相信公司所使用的資安工具“非常或極為有效”的資訊安全官，似乎太過有自信。

連 OpenSSL 都沒更新，卻還認為資安工具已是最新版本且安全無虞

至于真實情況是什么樣子，身為“防御者”的資安工作者，以及身為“使用者”的每一位企業員工，都可以從“思科 2015 年度安全報告”開始看起。

思科訪查不同國家、不同規模企業中擔任資訊安全職務的員工共 1,738 人，就公司投入到網絡安全的資源，安全營運、策略和規程，以及網絡安全營運的完善度三方面受訪。91% 的受訪組織表示由高端主管直接負責安全事務，高達90% 的公司對自己的安全策略、流程和程序很有信心。

不過在接下來的報告中寫到，只有 64% 的受訪者稱，自己的安全基礎設施非常先進，還利用現有最好的技術不斷升級；另有 33% 是定期更換或升級安全技術；最慘的是 3% 在原有安全技術無法使用、已過時或有全新需求時，才會更換或升級安全技術。

▲只有 64% 的受訪者聲稱，自己的安全基礎設施不斷升級、非常先進。（Source: 思科 2015 年度安全報告）

還不只如此，去年 4 月開放源代碼套件 OpenSSL 爆出 HeartBleed 漏洞，能讓駭客入侵服務器內存竊取敏感資料，預估影響全球 2/3 網站；但思科安全部門利用掃描引擎檢查使用 OpenSSL 套件的設備，發現 56% 的設備使用 50 個月之前的 OpenSSL 版本，意味這些網站管理員根本沒有將安全設施更新至最新、修補過的安全版本，讓網站暴露在被攻擊的風險中，與 97% 稱“資安設施非常新、定期更新”的狀況并不符合。

檢測不是 100% 有效，透過 AMP 追殺漏網之魚
（Source:flickr/ hombredenegro CC by 2.0）

除了資安工具更新速度慢是個問題，資安工具是否能抵御現在的網絡攻擊形態，并在受攻擊時及時解決問題，也是企業應學習的課題。思科認為大多數企業在資安防護的盲點為：將全部努力都放在檢測與攔截上。

檢測與攔截隨著攻擊方式翻新，進階持續性滲透攻擊（APT）蔓延，以及員工使用自己的設備工作，已變得更加薄弱。在移動設備功能愈趨強大之時，攜帶自己的設備（BYOD，Bring Your Own Device）如手機、平板、筆電進公司已成為常態，但員工在工作之余的上網瀏覽習慣以及上網環境，很可能一不小心就中了駭客布下的釣魚陷阱、垃圾郵件、水坑式攻擊，當被感染的設備連上內網，就會為企業帶來資安危機。

思科提出，面對無孔不入的攻擊，資安工作者必須認知“網絡一定會遭入侵”的事實。也因此企業應該要采用進階惡意軟件防護（Advanced Malware Protection, AMP）的解決方案，依“防御三階段”在攻擊的前、中、后，都能針對攻擊活動進行檢測、確認、分析、跟蹤，以及適時的修復。

攻擊前：檢測漏洞、強化管理。靠傳統防火墻和端點保護措施，阻擋一年數十億的垃圾郵件。攻擊中：即時分析、有效跟蹤。其中分析功能，就是將已避開檢測、進入企業內部的惡意軟件，透過其在網絡的活動行為、檔案用途，以及根據龐大的惡意軟件樣本資料，再次判定出其為惡意軟件；而跟蹤功能，就是當惡意軟件進入終端設備并擴散后，能夠讓資安工作者追蹤惡意軟件移動的軌跡與行為，追溯每個曾與其接觸的設備。攻擊后：損害控管、資源回復。在上述兩個功能發揮作用之后，最后無論惡意軟件是在何時最終定性，都能一一清除受影響設備的惡意軟件。思科2015年度安全報告，資安思維教戰手冊

思科在 2013 年并購資安公司 Sourcefire 后，就加入 Sourcefire 開發的 AMP 功能，不但能作為新一代 IPS 或新一代的防火墻，還能為個人電腦、移動設備和虛擬環境提供端點防護。

隨著網絡活動愈加頻繁，網絡上的資產也愈加豐富，因此駭客不斷翻新手法，虎視眈眈地盯著每家企業握有的數據庫。思科 2015 年度安全報告中分為四大部分，分別介紹 1.詳細的攻擊手法研究 2.企業資安現況訪查，同時提供思科建議的企業資安防護基準 3.地緣政治和各行業的資安趨勢 4.使用者和企業高層看待網絡安全的視角建議。