雲端資安論壇台中場 傳達最實用的防禦術

勤業眾信風險諮詢服務經理劉耀元。

回顧2016年至今，資安事件屢見不鮮，持續在全球各地上演。若要在眾多事件中，挑選出讓國人有感的，則包括有發生在2016年7月一銀ATM盜領案、2017年3月13家券商遭DDoS攻擊勒索案，及5月鬧得沸沸揚揚的WannaCry勒索蠕蟲事件。

事實上，撇開前述幾起有感事件不談，放眼國際，不乏更具殺傷力的威脅；就以被稱為「史詩級僵屍網路」的Mirai Botnet為例，即曾在2016年第4季掀起滿城風雨，接連攻陷法國網站代管商OVH、美國DNS服務商Dyn，不僅締造史上首見Tbps等級攻擊流量，亦因主要組成分子為IoT裝置，堪稱「萬物聯網、萬物皆可駭」的最佳寫照。

綜上所述，時值各行各業奮力推動數位轉型的今時今日，許多甚難防禦的新式資安風險，正環伺在你我的週遭，企業一個不留神，就可能讓原本大有可為的商業創意，毀於駭客之手。

有鑑於此，DIGITIMES日前在舉辦2017雲端資安論壇台中場，並以「技術、流程、策略：建構您的資安力」為活動主軸，期盼借重產學研各界專家的專業知識與經驗，協助企業建立有效的威脅防護之道，守護得來不易的商業創新成果。

整合威脅情資  建立事件應變機制

勤業眾信聯合會計師事務所風險諮詢服務經理劉耀元認為，資安攻防是一場不對稱的競爭，單一企業難以對抗有組織／專業分工的駭客集團。以2017年3月經維基解密揭露的CIA 「Vault 7」檔案為例，箇中含括大量攻擊與監控計畫，相關漏洞資訊武器將令多數企業無法招架。

劉耀元強調，進入數位創新時代，資安管理成為安全體系的對抗，唯有速度才是決勝關鍵，故企業務必做好三件事，一是「管理與技術縱深防禦」，強化固有風險管理與控制成熟度；二是「技術檢測與威脅分析」，提高體系弱點評估與威脅情資分析的能力及速度；三是「攻防演練與事件應變」，提升資安事件應變能量。

意欲落實上述目標，企業須練好幾項基本功，首先即是強化威脅情資管理作業，建立CTI(Cyber Threat Intelligence)中心，善加管控威脅情資生命週期(依序涵蓋情資的來源、收集、處理、分析及訂閱)，並將威脅情資淬煉為戰略策略。

其次建立資安應變組織及程序，企業可參照ENISA或NIST等組織提供的國際最佳實務標準，設計資安事件應變(IR)措施，並針對高風險業務活動，考量外部威脅情資，設計與實施攻防演練。

DLP/DRM合一  巧妙解決資料竊失難題

精品科技資安顧問暨資訊安全部經理陳伯榆指出，回顧2017上半年資安風險，總結有「惡意軟體＋漏洞武器」、「資料竊取外洩持續加劇」、「晶片／AP漏洞／類USB竊取」及「電腦裝置竊失」等四大型態，這些威脅皆與資料盜竊相關。

由此可見，企業與政府必須重視資料竊失問題，儘快尋求有效對策，以避免傷害持續擴大。但被視為有助於保全機敏資料的數位版權管理(DRM)，以往因加解密程序繁雜，導致生澀難用，為此精品科技透過SVS文件加密技術的推出，巧妙地讓資產管理、DLP、DRM合而為一，使企業得以借助X-FORT單一代理程式無痛發揮資料保護功效。

至於殺傷力不斷攀升的勒索軟體，陳伯榆建議企業善用X-FORT檔案安全區、意即「安全屋」機制，藉此儲存重要檔案，因為僅特定軟體才能讀寫安全區檔案，故可嚴防檔案安全，即使電腦不幸感染勒索病毒，用戶仍可取出安全區的檔案，並無數據遺失疑慮。

另論及電腦竊失外洩問題，可從硬碟防護角度建立最佳防線，不論透過USB key及TPM之整合應用，或運用BitLocker模式，都能讓企業組織有效防止機密外洩，並在最小變動下維持使用習慣。

新世代端點防護  抵禦網路惡意軟體

翔偉資安科技資深技術經理許鴻源說，細數近年知名威脅程式，大致包括CryptoLocker、Locky與WannaCry三支勒索病毒(或蠕蟲)，及Mirai惡意軟體。以讓人聞之色變的勒索病毒而論，預期1、2年內達到高峰，此後才會趨於緩和，但肆虐期間仍將一直變種，用戶須提高警覺。

前述勒索病毒及惡意程式，加上低調的APT攻擊，使當今網路惡意活動益發猖獗，導致防毒軟體疲態盡露，也讓人人皆淪為駭客覬覦目標。許鴻源指出，駭客攻擊可怕之處，在於擅於利用魚叉式網路釣魚(Spear Phishing)、雲端跳躍行動(Operation Cloud Hopper)或變臉詐騙攻擊(Business Email Compromise；BEC)等千變萬化手法，令人防不勝防。

儘管企業勤於部署安全防護技術，但高達95%企業曾遭受攻擊，顯示資安防禦出現大漏洞；唯今之計，須加強端點管理，跳脫傳統黑名單防禦模式。

為此F-Secure藉由九頭蛇(手動掃描)、水瓶座(F-Secure與BitDefender技術融合的及時描掃引擎)、雙子座(HIPS主機入侵防禦系統)、闇夜極光(深層Rootkits防禦)、信譽評等(即時線上防毒雲端資料庫)，及深藍技術(未知新型病毒行為模式偵測)等多重引擎交互運作機制，提高已知或未知威脅的偵測率，大幅增進端點安全防禦力。

憑藉五招式  強化網路叢林的求生實力

中華電信數據通信分公司資深資安產品技術經理邱品仁說，綜觀近年重大資安事件，可歸納為DDoS攻擊、入侵與操控IoT裝置、勒索軟體及APT等四大威脅。資安風險等於內外威脅、自身弱點、影響衝擊三者相乘結果，企業須先釐清自身可能遭受的潛在風險，藉由適當的資安投入，將風險限縮在可控範圍，切忌病急亂投醫。

企業在網路叢林的求生指南，不外乎辨識、保護、偵測、應變與復原等五大招式。欲做好「辨識」，須透過資產盤點與風險評估程序，隨時掌握弱點與威脅情資，達到知己知彼、百戰百勝。針對「保護」，應以實體封閉隔離，做好關鍵資源區、進出管制區、辦公室網路區之間的出入口防護，徹底落實存取管控，並搭配嚴謹的資料生命週期與權限控管。

有關「偵測」，應建立持續的資安監控機制，以偵測惡意程式及未經授權的存取行為，且定期執行弱掃與滲透測試。「應變」方面，透過事前準備，依序建立事件判讀分析、威脅風險控制、威脅風險清除、事件復原及Lesson Learned等必要機制。在最終式「復原」部份，則需建立災難復原機制，更應定期檢視備援機制的有效性。

投資人才與教育  善用高科技執行防護

台灣威瑞特系統科技(Verint)總經理吳明蔚表示，當萬物皆與網路連結，必定顯露脆弱之處，因此展望未來世界，資安問題勢將持續存在。而台灣儘管幅員不大，但資安高風險族群層面卻很廣，遭受嚴峻的APT威脅，更應痛定思痛找出因應對策。

吳明蔚認為，全世界在資安防護均面臨教育、人才、策略等三大挑戰。忽略教育，就無法將駭客舊聞變成防禦新知；忽略人才，即不懂得運用高科技進行防護，也無助企業制定有效策略，買一堆設備徒然消耗電力。

2016年惡意程式逾6億支，推論今後只會愈來愈多，強取豪奪更猖獗，而防禦成本持續遠高於攻擊成本，就算企業建立密不透風的防護體系，壞人仍有三個必殺招式(沒有奇怪連線、惡意程式及非法用戶)，仍可長驅直入，更何況還有零日漏洞的超強武器，故企業真的要有被入侵的準備。

意欲抵抗兇險威脅，企業用對方法比買產品更重要，須講求「5個縱深」原則，建立事前識別＋防護、事中偵測＋應變、事後復原等完善機制，以期透過多元偵測、具體佐證、全面調查與有效應變，加快從發現威脅到處理威脅的時效。

守護「資訊源」  遏阻機密外洩

群環科技業務專案經理黃永定說，2017年5月中旬，WannaCry勒索蠕蟲襲擊全球150國，台灣名列第三重災區，故企業非常關心因應之道，「安全備份」即是必要的基礎建設；可惜傳統備份方式存在諸多罩門，無法在感染勒索軟體的危急之際產生效用，為此該公司提供EMC Data Domain暨DPS整體備份方案，即使資料來源端遭勒索綁架，亦不致危及存放於Data Domain後台的備份資料。

此外上述方式係從Source端進行Dedup，可大幅提升備份速度，企業天天可做全備份，沒有相依性，且有驗證機制可供確保資料還原完整性，足以有效提升還原效率。

除了打好備份基礎，黃永定強調，企業欲解決資料外洩，必須三管齊下從「資訊源」著手補強。首先借助D-Security方案，於檔案生成便自動加密，守護企業的機敏檔案文件；其次透過dbAegis資料庫安全稽核系統，即時監控資料庫所有存取行為，連帶提供自動異常偵測，發送告警通知。

最後則鎖定駭客入侵的首要目標－「竊取特權帳號」，建構對應防範機制，一方面利用osAegis禁止任何人直接接獲資料庫，並留存所有軌跡紀錄，二方面借助dbAegis記錄Web使用者與DB特權使用者SQL執行紀錄。

內外攻防得宜  方能安心上雲

台灣二版(ESET亞太區總代理)高級產品經理盧惠光分析，企業上雲面臨的威脅有二，一是內憂，包括員工蓄意取走公司資料、誤傳資料或遺失可攜式裝置，二是外患，包括感染勒索軟體、APT，或雲端系統被入侵；近期引發軒然大波的WannaCry，便算是嚴重的外患之一。

不少人曾問，ESET能否防範WannaCry？盧惠光給予肯定答覆，透過ESET網路攻擊防護功能，即使微軟尚未發布更新，亦可主動阻止蠕蟲傳播，另搭配ESET雲端防護系統，毋需更新便能阻止WannaCry。ESET「勒索防護盾」擁有獨特的多重防護核心，搭配LiveGrid雲端技術，可在網際狙殺鏈的各階段主動反擊，阻擋惡軟體攻擊。

企業上雲的威脅，絕對不僅勒索軟體，台灣二版亦針對其餘禍患，為企業提供安內攘外方案。譬如藉由ESET進階記憶體防護、LiveGrid及漏洞防護等技術，防禦APT攻擊；利用ESET Secure Authentication雙重認證安全，防止雲端系統被入侵；透過DESlock+資料加密方案，執行完整硬碟加密、檔案或資料夾加密、隨身碟加密、電子郵件加密，縱使員工不慎丟失裝置或外洩郵件帳密、仍可保障資料安全；另提供Safetica DLP方案，降低人為因素(員工有意或無意外傳資料)造成的傷害。

防禦新思維：降低駭客潛伏時間

駭客年會創辦人徐千洋表示，近年許多大型網站服務出現資料外洩事故，甚至自認為安全無懈可擊、以懸賞方式召集駭客入侵的PornHub(全球最大色情網站)，最終都遭到攻陷，顯見現今攻擊威脅已達無孔不入之境地，企業如何是好？

徐千洋建議，企業在資源有限的情況下，不妨先鎖定最核心的業務，接著把防護建立在最需保護的環節，全力降低駭客的潛伏時間，及早發現敵人行蹤、及早加以處理，才是資安王道；至於如何阻止駭客進入，在資源緊俏狀態下，反倒未必是最重要的。

至於如何降低駭客潛伏時間？主要有三個面向，包括了系統整合，藉由Log整合或API串聯等方式，讓各家資安設備能夠協同作戰；其次是機器學習，找出既定Rule或Pattern所無法涵蓋的異常徵兆；再者是可視性，力求全盤掌握所有網路進出、資料流動狀態。

在此同時，可結合漏洞揭露、威脅情報及顧問諮詢等三道助力，讓上述三件事做得更到位。企業切記「資安等於成本」，不是額外花費，假使僅為了節省成本而致天平失衡，便意謂風險提高，不可不慎。