Fireeye臺灣技術經理林秉忠表示,要能擋住潛在的資安威脅要先改變想法,預設自己已經受駭,怎麼從看似安全的環境中,找到潛在的威脅。

圖片來源: 

iThome

資安業者Fireeye協助去年感恩節前夕遭到駭客入侵並外洩資料的索尼影業(Sony Pictures),進行資安調查。臺灣技術Fireeye技術經理林秉忠表示,雖然無法針對事件調查內容多所著墨,但是從該起事件,卻可以分享一個新的資安觀點,那就是:「企業因應資安事件時,都應該先假設企業的資料已經被外洩了。」

以往,企業面對資安防護時,都採用傳統圍堵的概念,哪裡有洞就補哪裡,但是,林秉忠說:「當所有的漏洞都補完後,企業就真的安全了嗎?」尤其是,近年來,許多資安攻擊手法多變,但是,資安防禦能力卻還是和20多年前一樣採用特徵碼來防護,攻防之間的差距,企業真的有能力防禦嗎?

林秉忠指出,只有當企業預設已經被駭、資料已外洩時,才會真的去思考如何「調整因應」,將用偵測回應取代封鎖圍堵。也就是說,現在要發現駭客入侵,關鍵在於是否可以偵測到異常行為,並不是用幾個已知的病毒看偵測率,就可以預防APT(進階持續性威脅)攻擊,而必須從技術、事件調查(IR)和威脅情資三個面向著手。

所謂的技術,必須要能夠發掘被資安系統Bypass的威脅,從行為或者是黑箱模擬等方式,都可以做到即時的偵測回應;再者,事件調查必須在電腦端及網路端進行網路封包側錄與鑑識的事件調查;最後,透過威脅情資的分享,從攻擊是否有固定的SOP或者是其他行為特徵,找出真正攻擊的兇手,對症下藥、永絕後患。林秉忠認為,從5萬封電子郵件,攔到只剩下5千封乾淨的郵件是傳統資安思維;但是,怎麼從乾淨的5千封電子郵件,攔到1封有潛在威脅的郵件,才是新的資安思維。

要能攔到這一封有威脅的信,就必須要能做到網路端和主機端對特定系統和主機取證,或是透過網路流量進行調查。事件調查(IR)的目的是要確認下面6點,包括:1、 駭客如何進入內部網路及系統;2、企業內部有多少系統遭受攻擊或植入後門; 3、是否有波及其他系統及 是否有水平移動的現象;4、是否有徵兆顯示內部資料遭受竊取 ? 如果有,可否清點被竊取的資料內容; 5、如何建立重建之計畫: 6、提供鑑識報告以及調查分析。其中尤其是第1點和第4點更是事件調查想要確認的關鍵所在。

 


相關報導請參考「駭客出任務,索尼影業駭翻天」


Advertisement

更多 iThome相關內容