檢視資安政策執行成效 持續補強防禦脆弱點
- 魏淑芳
-
在2017年5月,史上第一支勒索蠕蟲WannaCry在全球大肆侵襲,導致各國政府機關、公用事業、民間企業等不同領域皆有受災戶,台灣也無法倖免於難,可謂哀鴻遍野,因而引發媒體熱烈報導。安華聯網科技總經理洪光鈞認為,WannaCry的確有破壞性、但絕非天下無敵,儘管如此仍不失為好教材,可幫助企業檢視自身的資安防護,還有哪些未盡之處。
他認為,早先被揭露的OpenSSL Heartbleed或Apache Struts2等漏洞,殺傷力都強過WannaCry,只因沒有企業會關閉80埠,故對駭客而言,利用Heartbleed或Struts2弱點發動攻擊,必然快速而有效,相形之下,WannaCry感染途徑為445埠,直接曝露在外網的情況較少。
只不過Heartbleed或Struts2攻擊行為意在竊取資料,偏向低調的APT模式,反觀WannaCry強行將檔案加密,立即造成影響,讓終端用戶更加有感。
無論如何,企業不幸成為WannaCry受害者,便意謂有些事情沒做好,首先是未能確實修補系統漏洞;其次可能任由某些主機曝露於外網,且未妥善設定防火牆存取規則,讓原本應限於內部傳檔的網芳分享,意外曝露在網際網路世界,直接淪為被攻擊目標;再者多數企業的資安政策中,通常已納入實體隔離措施,但可能執行得不夠徹底,才讓一些重要檔案慘遭WannaCry毒手。
更有甚者,企業也大可跳脫WannaCry範疇,將思考點拉升到防禦的制高點,一併檢視自己針對資安投入的資源是否足夠,或是即使已經購置眾多防護系統,亦須自問是否配置充裕的人力與技術能量,確實為這些系統做好日常維護與管理工作,使其發揮最大防禦功效。
另外也不妨針對資安政策的執行成效,做一次通盤檢視,看看有無應做而未做的事項,譬如再經過檢討後,確實徹底補強了實體隔離,則日後遭受類似WannaCry病毒或蠕蟲感染的機率,應該就不高。
透過資安情蒐 強化應變能力
「即使該買的都買了、該做的全做了,仍有持續改善的空間,」洪光鈞說,持平而論,現階段企業組織對於威脅情資蒐集,普遍未臻完善,這是今後值得加強的重點,畢竟只要做好資安情蒐,企業可望及時掌握全球資安攻擊流行趨勢,進而爭取更多時間,好整以暇地研擬應變對策。
論及資安情蒐,雖有一定的難度,但進入門檻未必高,最簡單的方式,企業可配置一定人力,負責每天閱覽資安新聞,從中擷取相關線索,但時效性或許沒那麼高;更有效的方式,則是借重如安華聯網之類第三方專業廠商的力量,引進自動化情資蒐集與分析系統,並針對一些即將醞釀成形的威脅趨勢,委由廠商預先提供處置建議。
延續WannaCry例子,早在事發的一個多月前,安華便對此事高度關注,並協助企業用戶儘速修補系統弱點,以致日後能從容應付這股亂流。安華雖以協助連網設備製造商執行產品安全檢測而著稱,但事實上,另一方面也為企業客戶提供資安顧問服務,包括幫助企業定期實施滲透測試、弱點掃描,期盼藉由事前的檢查與補強,及早消弭防禦架構的脆弱點。
洪光鈞強調任何資安產品皆非萬能,呼籲企業莫要過度倚重單一解決方案,必須不停思考「萬一這關守不住該怎麼辦」,進而逐步加深防禦關卡,設立E-mail與Web防護、防毒軟體、白名單管控機制、網路隔離、權限管制、內網IPS…等等一層層路障,輔以透過教育訓練灌輸員工安全意識,盡全力讓攻擊者寸步難行、無機可乘。
