雲端資安論壇台中場 傳達最實用的防禦術
回顧2016年至今,資安事件屢見不鮮,持續在全球各地上演。若要在眾多事件中,挑選出讓國人有感的,則包括有發生在2016年7月一銀ATM盜領案、2017年3月13家券商遭DDoS攻擊勒索案,及5月鬧得沸沸揚揚的WannaCry勒索蠕蟲事件。
事實上,撇開前述幾起有感事件不談,放眼國際,不乏更具殺傷力的威脅;就以被稱為「史詩級僵屍網路」的Mirai Botnet為例,即曾在2016年第4季掀起滿城風雨,接連攻陷法國網站代管商OVH、美國DNS服務商Dyn,不僅締造史上首見Tbps等級攻擊流量,亦因主要組成分子為IoT裝置,堪稱「萬物聯網、萬物皆可駭」的最佳寫照。
綜上所述,時值各行各業奮力推動數位轉型的今時今日,許多甚難防禦的新式資安風險,正環伺在你我的週遭,企業一個不留神,就可能讓原本大有可為的商業創意,毀於駭客之手。
有鑑於此,DIGITIMES日前在舉辦2017雲端資安論壇台中場,並以「技術、流程、策略:建構您的資安力」為活動主軸,期盼借重產學研各界專家的專業知識與經驗,協助企業建立有效的威脅防護之道,守護得來不易的商業創新成果。
整合威脅情資 建立事件應變機制
勤業眾信聯合會計師事務所風險諮詢服務經理劉耀元認為,資安攻防是一場不對稱的競爭,單一企業難以對抗有組織/專業分工的駭客集團。以2017年3月經維基解密揭露的CIA 「Vault 7」檔案為例,箇中含括大量攻擊與監控計畫,相關漏洞資訊武器將令多數企業無法招架。
劉耀元強調,進入數位創新時代,資安管理成為安全體系的對抗,唯有速度才是決勝關鍵,故企業務必做好三件事,一是「管理與技術縱深防禦」,強化固有風險管理與控制成熟度;二是「技術檢測與威脅分析」,提高體系弱點評估與威脅情資分析的能力及速度;三是「攻防演練與事件應變」,提升資安事件應變能量。
意欲落實上述目標,企業須練好幾項基本功,首先即是強化威脅情資管理作業,建立CTI(Cyber Threat Intelligence)中心,善加管控威脅情資生命週期(依序涵蓋情資的來源、收集、處理、分析及訂閱),並將威脅情資淬煉為戰略策略。
其次建立資安應變組織及程序,企業可參照ENISA或NIST等組織提供的國際最佳實務標準,設計資安事件應變(IR)措施,並針對高風險業務活動,考量外部威脅情資,設計與實施攻防演練。
DLP/DRM合一 巧妙解決資料竊失難題
精品科技資安顧問暨資訊安全部經理陳伯榆指出,回顧2017上半年資安風險,總結有「惡意軟體+漏洞武器」、「資料竊取外洩持續加劇」、「晶片/AP漏洞/類USB竊取」及「電腦裝置竊失」等四大型態,這些威脅皆與資料盜竊相關。
由此可見,企業與政府必須重視資料竊失問題,儘快尋求有效對策,以避免傷害持續擴大。但被視為有助於保全機敏資料的數位版權管理(DRM),以往因加解密程序繁雜,導致生澀難用,為此精品科技透過SVS文件加密技術的推出,巧妙地讓資產管理、DLP、DRM合而為一,使企業得以借助X-FORT單一代理程式無痛發揮資料保護功效。
至於殺傷力不斷攀升的勒索軟體,陳伯榆建議企業善用X-FORT檔案安全區、意即「安全屋」機制,藉此儲存重要檔案,因為僅特定軟體才能讀寫安全區檔案,故可嚴防檔案安全,即使電腦不幸感染勒索病毒,用戶仍可取出安全區的檔案,並無數據遺失疑慮。
另論及電腦竊失外洩問題,可從硬碟防護角度建立最佳防線,不論透過USB key及TPM之整合應用,或運用BitLocker模式,都能讓企業組織有效防止機密外洩,並在最小變動下維持使用習慣。
新世代端點防護 抵禦網路惡意軟體
翔偉資安科技資深技術經理許鴻源說,細數近年知名威脅程式,大致包括CryptoLocker、Locky與WannaCry三支勒索病毒(或蠕蟲),及Mirai惡意軟體。以讓人聞之色變的勒索病毒而論,預期1、2年內達到高峰,此後才會趨於緩和,但肆虐期間仍將一直變種,用戶須提高警覺。
前述勒索病毒及惡意程式,加上低調的APT攻擊,使當今網路惡意活動益發猖獗,導致防毒軟體疲態盡露,也讓人人皆淪為駭客覬覦目標。許鴻源指出,駭客攻擊可怕之處,在於擅於利用魚叉式網路釣魚(Spear Phishing)、雲端跳躍行動(Operation Cloud Hopper)或變臉詐騙攻擊(Business Email Compromise;BEC)等千變萬化手法,令人防不勝防。
儘管企業勤於部署安全防護技術,但高達95%企業曾遭受攻擊,顯示資安防禦出現大漏洞;唯今之計,須加強端點管理,跳脫傳統黑名單防禦模式。
為此F-Secure藉由九頭蛇(手動掃描)、水瓶座(F-Secure與BitDefender技術融合的及時描掃引擎)、雙子座(HIPS主機入侵防禦系統)、闇夜極光(深層Rootkits防禦)、信譽評等(即時線上防毒雲端資料庫),及深藍技術(未知新型病毒行為模式偵測)等多重引擎交互運作機制,提高已知或未知威脅的偵測率,大幅增進端點安全防禦力。
憑藉五招式 強化網路叢林的求生實力
中華電信數據通信分公司資深資安產品技術經理邱品仁說,綜觀近年重大資安事件,可歸納為DDoS攻擊、入侵與操控IoT裝置、勒索軟體及APT等四大威脅。資安風險等於內外威脅、自身弱點、影響衝擊三者相乘結果,企業須先釐清自身可能遭受的潛在風險,藉由適當的資安投入,將風險限縮在可控範圍,切忌病急亂投醫。
企業在網路叢林的求生指南,不外乎辨識、保護、偵測、應變與復原等五大招式。欲做好「辨識」,須透過資產盤點與風險評估程序,隨時掌握弱點與威脅情資,達到知己知彼、百戰百勝。針對「保護」,應以實體封閉隔離,做好關鍵資源區、進出管制區、辦公室網路區之間的出入口防護,徹底落實存取管控,並搭配嚴謹的資料生命週期與權限控管。
有關「偵測」,應建立持續的資安監控機制,以偵測惡意程式及未經授權的存取行為,且定期執行弱掃與滲透測試。「應變」方面,透過事前準備,依序建立事件判讀分析、威脅風險控制、威脅風險清除、事件復原及Lesson Learned等必要機制。在最終式「復原」部份,則需建立災難復原機制,更應定期檢視備援機制的有效性。
投資人才與教育 善用高科技執行防護
台灣威瑞特系統科技(Verint)總經理吳明蔚表示,當萬物皆與網路連結,必定顯露脆弱之處,因此展望未來世界,資安問題勢將持續存在。而台灣儘管幅員不大,但資安高風險族群層面卻很廣,遭受嚴峻的APT威脅,更應痛定思痛找出因應對策。
吳明蔚認為,全世界在資安防護均面臨教育、人才、策略等三大挑戰。忽略教育,就無法將駭客舊聞變成防禦新知;忽略人才,即不懂得運用高科技進行防護,也無助企業制定有效策略,買一堆設備徒然消耗電力。
2016年惡意程式逾6億支,推論今後只會愈來愈多,強取豪奪更猖獗,而防禦成本持續遠高於攻擊成本,就算企業建立密不透風的防護體系,壞人仍有三個必殺招式(沒有奇怪連線、惡意程式及非法用戶),仍可長驅直入,更何況還有零日漏洞的超強武器,故企業真的要有被入侵的準備。
意欲抵抗兇險威脅,企業用對方法比買產品更重要,須講求「5個縱深」原則,建立事前識別+防護、事中偵測+應變、事後復原等完善機制,以期透過多元偵測、具體佐證、全面調查與有效應變,加快從發現威脅到處理威脅的時效。
守護「資訊源」 遏阻機密外洩
群環科技業務專案經理黃永定說,2017年5月中旬,WannaCry勒索蠕蟲襲擊全球150國,台灣名列第三重災區,故企業非常關心因應之道,「安全備份」即是必要的基礎建設;可惜傳統備份方式存在諸多罩門,無法在感染勒索軟體的危急之際產生效用,為此該公司提供EMC Data Domain暨DPS整體備份方案,即使資料來源端遭勒索綁架,亦不致危及存放於Data Domain後台的備份資料。
此外上述方式係從Source端進行Dedup,可大幅提升備份速度,企業天天可做全備份,沒有相依性,且有驗證機制可供確保資料還原完整性,足以有效提升還原效率。
除了打好備份基礎,黃永定強調,企業欲解決資料外洩,必須三管齊下從「資訊源」著手補強。首先借助D-Security方案,於檔案生成便自動加密,守護企業的機敏檔案文件;其次透過dbAegis資料庫安全稽核系統,即時監控資料庫所有存取行為,連帶提供自動異常偵測,發送告警通知。
最後則鎖定駭客入侵的首要目標-「竊取特權帳號」,建構對應防範機制,一方面利用osAegis禁止任何人直接接獲資料庫,並留存所有軌跡紀錄,二方面借助dbAegis記錄Web使用者與DB特權使用者SQL執行紀錄。
內外攻防得宜 方能安心上雲
台灣二版(ESET亞太區總代理)高級產品經理盧惠光分析,企業上雲面臨的威脅有二,一是內憂,包括員工蓄意取走公司資料、誤傳資料或遺失可攜式裝置,二是外患,包括感染勒索軟體、APT,或雲端系統被入侵;近期引發軒然大波的WannaCry,便算是嚴重的外患之一。
不少人曾問,ESET能否防範WannaCry?盧惠光給予肯定答覆,透過ESET網路攻擊防護功能,即使微軟尚未發布更新,亦可主動阻止蠕蟲傳播,另搭配ESET雲端防護系統,毋需更新便能阻止WannaCry。ESET「勒索防護盾」擁有獨特的多重防護核心,搭配LiveGrid雲端技術,可在網際狙殺鏈的各階段主動反擊,阻擋惡軟體攻擊。
企業上雲的威脅,絕對不僅勒索軟體,台灣二版亦針對其餘禍患,為企業提供安內攘外方案。譬如藉由ESET進階記憶體防護、LiveGrid及漏洞防護等技術,防禦APT攻擊;利用ESET Secure Authentication雙重認證安全,防止雲端系統被入侵;透過DESlock+資料加密方案,執行完整硬碟加密、檔案或資料夾加密、隨身碟加密、電子郵件加密,縱使員工不慎丟失裝置或外洩郵件帳密、仍可保障資料安全;另提供Safetica DLP方案,降低人為因素(員工有意或無意外傳資料)造成的傷害。
防禦新思維:降低駭客潛伏時間
駭客年會創辦人徐千洋表示,近年許多大型網站服務出現資料外洩事故,甚至自認為安全無懈可擊、以懸賞方式召集駭客入侵的PornHub(全球最大色情網站),最終都遭到攻陷,顯見現今攻擊威脅已達無孔不入之境地,企業如何是好?
徐千洋建議,企業在資源有限的情況下,不妨先鎖定最核心的業務,接著把防護建立在最需保護的環節,全力降低駭客的潛伏時間,及早發現敵人行蹤、及早加以處理,才是資安王道;至於如何阻止駭客進入,在資源緊俏狀態下,反倒未必是最重要的。
至於如何降低駭客潛伏時間?主要有三個面向,包括了系統整合,藉由Log整合或API串聯等方式,讓各家資安設備能夠協同作戰;其次是機器學習,找出既定Rule或Pattern所無法涵蓋的異常徵兆;再者是可視性,力求全盤掌握所有網路進出、資料流動狀態。
在此同時,可結合漏洞揭露、威脅情報及顧問諮詢等三道助力,讓上述三件事做得更到位。企業切記「資安等於成本」,不是額外花費,假使僅為了節省成本而致天平失衡,便意謂風險提高,不可不慎。