建立資安聯防 內外兼顧低禦惡意威脅
環顧現今各項資安威脅,無庸置疑,「進階持續性滲透攻擊(APT)」的殺傷力與破壞性之強,稱得上首屈一指,因此不少企業亟欲佈建有效的防治方案,藉以抵禦APT攻擊的進犯。
然而依德科技資深網路資安技術顧問張偉翰強調,APT並非單一惡意軟體,而是多道攻擊步驟的集合體,企業若欲有效防範APT,所需要倚靠的並不是一套解決方案,而是多重的攻擊防禦機制。
阻檔已知攻擊外 更需防範未知威脅
論及APT攻擊步驟,依序是惡意垃圾郵件、惡意網站連結、入侵弱點漏洞、不當下載,最終透過殭屍指令暨密碼竊取達到奪取資料之目的,進而毀滅硬碟。針對這6道步驟,企業即需逐一建立Anti-Spam、Web Filtering、入侵防禦系統(IPS)、Antivirus,及IP Reputation/DLP/DNS Firewall等對應防護機制。
光是部署前述機制,恐怕還不夠,另需針對駭客慣常搭配APT攻勢交互運用的兩大惡意活動-DDoS、網站漏洞攻擊,展開Anti-DDoS或網頁應用防火牆(WAF)等對應防禦措施。
然而只要佈建好上述一干防護設施,便可讓企業遠離機敏資訊外洩風險?答案當然是否定的,此乃由於,一些讓企業相對熟悉且已普遍導入的防護系統,不管是次世代防火牆、電子郵件過濾、網站存取過濾、DDoS防禦乃至於WAF,都僅是用以偵測阻擋攻擊,意即是針對「已知」威脅的防禦,在守護企業資安的偌大構圖中,這不過是其中一塊,尚需佈建其他防護機制。
張偉翰認為唯有「內外兼顧」,才能牢牢守護企業,所以不僅要做到如同前述的偵測阻擋攻擊,也需建立另外三大機制。
一是「辨識新的威脅事件」,其重點在於偵測潛在威脅,而這些威脅屬於「未知」性質,並無特徵碼或指紋資料庫可供比對,因此需要藉助沙箱、網路行為分析(NBA)、Client Reputation等新興工具或技術;二是「減少被攻擊面」,重點在於存取控管,且不僅止於企業相對重視的無線網路存取控管,還應該擴及至有線網路存取控管,並需要建立集中式存取政策管理系統;三是「事件紀錄稽核」,重點在於持續的監控,相關輔助措施包括了資安事件報表,以及網路流量透明化。
除此之外,企業也必須有能力藉由網路拓樸、實體位置追蹤,據以迅速定位任何資安事故的發生來源,以發揮即時回應、即時阻檔之功效。
集中存取控制 強化區域網路管理
在此之中,如何因應未知攻擊,無疑是建立內外兼顧資安聯防機制的重要一環。對此張偉翰建議企業可採納Client Reputation技術,透過分析計算的積分統計法,經由「使用者身分+設備種類」,輔以包括UTM安控政策、事件積分定義等各類統計行為,最終產生有關風險狀態的統計與分析結果,繼而善用此成果,預防零時差攻擊的發生。
說穿了,實施Client Reputation的目的,便是發現企業網路內部的異常行為,比方說,某位業務人員經常出現非法資源存取、或企圖連線到奇怪的網站,觸發的安全事件之多,在公司內部名列前茅,顯見其為信譽低落的用戶端,即便還未釀成大禍,企業IT管理者即可預先介入處理。
緊接著,企業需要佈建進階的Anti-Malware保護機制,而此類機制深具多重管理過濾能力,不僅內建諸如沙箱模擬、病毒行為預測與誘發、蠕蟲內容特徵剖析等強化的防毒掃描引擎,也一併支援雲端防毒、全球同步IP名譽資料庫。
再者需嚴加防範DDoS攻擊,但不宜僅倚靠IPS,只因傳統IPS往往在與DDoS正面對決後,若非系統本身當掉,即是意外阻檔了正常流量,仍然造成企業服務停擺,所以企業必須思索新的做法,便是藉助多層次網路及應用層行為模式分析,例如透過Syn Cookie判斷來者究竟是機器還是一般人,一旦發現異常,隨即動態產生特徵碼,自動加以攔阻;如此一來,即使企業遭遇UDP Flood大量攻擊,也能迅速遏阻,且同時允許正常流量如常進出,絕不干擾企業對外服務的運行。
針對存取控管議題,張偉翰建議企業可考慮建置一個以JPMS身分認證及網路存取控制系統為中心的機制,集中與後端AD、LDAP、RADIUS Proxy等帳號管理系統同步連動,而JPMS提供一套自註冊系統,讓使用者填寫必要資訊送出審核,使企業IT管理者輕易做到有?無線網路的MAC Address控管,據此節省人力,並發揮稽核控管、加速問題查找等雙重效益。
另一方面,張偉翰呼籲企業評選內部區域網路,不應再單純側重機器規格,而應該重視諸如設備控管、異常告警、服務不中斷等網管功能的健全與否。
以Alcatel-Lucent OmniVista網路管理系統為例,便有能力辨識異常流量,如同IP Scan或Port Scan等異常行為,抑或Broadcast等激增大量封包,從而展開對應處理措施,連帶發揮先期告警之功效,且透過集中畫面,清楚即時顯示異常VM所在主機、連接之Switch IP/Port,有助於企業IT管理者儘速掌握惡意攻擊之先兆,搶先阻斷駭客攻勢。
- 掌握正確防護概念 擬定制勝的資安策略
- 強化行動裝置安全 慎防機密資料外洩
- 透過多層式防禦 瓦解DDoS攻擊威脅
- 善盡特權帳號管理 清除最大資安禍首
- 憑藉自動檢測機制 清理開源安全漏洞
- 網路正規化與端點安全 有助強化企業資安體質
- 隱藏關鍵目標 將資安防護推向新境界
- 建立資安聯防 內外兼顧低禦惡意威脅
- 以COBIT 5基底 建立企業IT治理架構
- 管制行動裝置與雲端 大幅減輕洩密風險
- 善用巨量資料 理解惡意攻擊的前因後果
- 做好防範與管理 避免行動裝置成為資安隱憂
- 強化事後應變處理 將惡意餘毒清理殆盡
- 以Honeynet彙集大數據 緊盯資安威脅趨勢演進
- 善用雲端資安服務 迎戰APT/DDoS目標式攻擊
- 憑藉加密式雲端 建立安全的協同設計環境