全新資安思維 快速打擊複雜威脅
面對愈來愈頻繁的網路攻擊,原本就擅長網路流量分析的Arbor Networks,決定推出Spectrum平台,跟企業分享過去只跟學術機構交流的資安情資。Arbor Networks技術顧問林子傑指出,根據世界經濟論壇(World Economic Forum)的統計,全球網路犯罪共已造成2,880億美元的損失,大規模資料外洩世界更已是常態,企業必須要重新思考資安策略,才能將可能遭致的損失降至最低。
林子傑強調,企業必須意識到,想要做到百分之百的資安防護的難度很高,但可以先從降低風險做起。如駭客主要都是利用程式漏洞侵入,所以只是做好內部網路對外的防護是不夠的,因為企業會有很多人在外部作業,只要外勤人員的電腦中毒,駭客就有可能會從內部入侵,所以不管是對外及對內的防護,都有加強的必要。
以進階持續性滲透攻擊(Advanced Persistent Threat;APT)為例,目前的偵測方式雖然非常多樣,對外可以使用防火牆、沙箱,對內則有可以側錄資安鑑識分析,但林子傑指出,由於惡意程式與特徵碼落差太大,相差甚至可達20倍以上,代表資安設備其實很難防止外部的入侵,需要一個工具來彌補中間的落差。
林子傑主張企業資安思維,應該要化被動與主動,主動去找出網路上目前正在發生什麼狀況。因為對駭客而言,只要成功入侵一次,就可以獲取巨大利益,因此企業的資安思維,如果仍是以被動防禦及回應為主,駭客總是會從各種管道設法侵入,但如果改用主動方式,注意網路上的惡意行為特徵,預先作好防範,就可減少駭客入侵的意願,進而降低資安風險。
林子傑建議企業在防禦APT的配置,應該轉變現在主要是以檢測(DETECT)為主的做法,而是要加強分析及鑑識(ANALYZE/PROVE)方面的投資,因為如此才能主動有效很快地知道感染的範圍,掌握感染的動作,才能快速打擊資安威脅。
因此現在的企業資安做法,一開始應該都會有Log,然後開始作關聯性分析。林子傑以Arbor Networks Spectrum平台為例,透過防火牆及安全性資訊與事件管理(SIEM)的Log,不只可以看到有哪些重要的主機遭到攻擊,還能夠判斷發生什麼事,才能在必要時能夠做進一步的調查。
林子傑指出,Arbor Networks Spectrum平台在收到Log時,可以利用資料庫來做比對,因為資料庫保存很多「指紋」,可以減少人工比對的負擔,可以很快地透過Log搜尋,掌握發生什麼事情,有哪些足跡?有哪些主機受影響?不僅可以看到內部主機將那些重要資料傳到外部,不但可以掌握需要調查的標的物,而且還能知道資料為什麼會開始傳輸。
如發現資料開始對外傳輸時,不僅可能發現是之前有一個機器針對主機做了後門程式的植入、植入的管道,還可以知道是哪一個使用者點選哪一個連結,才能更進一步的追查,感染的動作是到此為止?還是有更多的機器被感染?
林子傑強調,要打擊資安危脅,一定要做好關聯性分析,而不能只是看到有資料正在傳輸的資訊而已,必須要針對感染的過程,做好全面的檢視,才能夠知道該如何從什麼關鍵點開始處理。企業資安不能只靠後端防護,而是要建立全新的資安思維,千萬不要以為能夠阻擋攻擊,就代表資安事件結束了,而是要主動搜尋或嚇阻,提早發現威脅,才能快速打擊日趨複雜的資安威脅。