眾所皆知,「數位轉型」是熱門顯學,各行各業都期望透過新科技運用,改變傳統做法,開創更佳商業模式。但人們必須承認,駭客產業確實堪稱數位轉型的箇中高手,比一般產業更能掌握雲端、物聯網、大數據甚至人工智慧等數位浪潮,擅於挖掘你我防禦弱點,並以最先進技術來發動襲擊;使現在不管企業體系、政府組織或個人,皆身陷資安危機,隨時面臨變化多端且無所不在的威脅。

既然駭客攻擊手法愈趨高端莫測,企業自然需要重新評估防護策略,確保自身防禦等級 Level Up,有能力評估潛在風險,並針對內部重要資產提供必要防護,萬一防線不幸遭到攻破,也有資安事件應變小組可即時回應事件,藉此全面提升威脅防禦力。

翻轉資安思維,應付全新威脅

對於全球資訊安全領域,近幾年實在不甚平靜。趨勢科技臺灣區暨香港區總經理洪偉淦表示,過去大家很難想像,竟有高達 1.2Tbps 的 DDoS,同時波及全球 75 個重要網站,此外竟有勒索病毒可藉由主動感染,讓遍佈全球 198 國的 40 萬臺電腦慘遭加密,這些情節都已真實上演,迫使資安工作者面臨艱鉅挑戰,而且他們的對手,不再僅是組織型駭客,而是以獲利為導向的網路犯罪產業鏈,更加難以應付。

企業、政府或個人究竟該如何因應?IDC 亞太地區 IT 資安副總裁 Simon Piff 認為首要之務是翻轉資安思維,莫再把資安威脅視為 IT 議題,應從商業風險角度定義防禦策略,IT 或資安管理者不僅需要清楚認知資安與公司營運 KPI 之間連動關係,且要有能力引導 CEO 理解問題嚴重性;他建議企業組織可設置獵捕小組,負責監控潛在威脅,另一小組專門負責回應資安事件,兩團隊各司其職,同時也建議企業建立 SecDevOps 架構,將資安嵌入到軟體開發與維運流程,藉由事前防範未然,取代事後補救。

國際資安事件應變小組論壇(FIRST)董事 Adli Wahid 指出,企業須體認敵人一定挑你最弱環節來攻擊,所以企業應找出自己較具價值、也較亟待提升防護的資產,建立主動偵測、回應與事後行動的完整機制,並參酌 NIST 等參考規範詳實建立安全控制點。

善用獵捕團隊與紅軍,挖掘資安脆弱點

趨勢科技全球資訊長暨核心技術研發執行副總裁鄭奕立表示,伴隨科技變遷,藉由雲端、人工智慧(AI)、物聯網(IoT)與其他各式應用的結合,包含無人機、IP Camera、各式智慧居家設備,甚或工業 4.0、智慧城市等等,皆可望大幅改變人類生活方式。不斷應運而生的智慧裝置,之所以擁有智慧,一定具備連網通訊、資料傳輸過程,無形中製造更多駭客入侵機會。

以 IP Camera 為例,全球竟有超過 15 萬臺 IP Camera 缺乏保護機制,甚至採用預設密碼,等於處在不設防狀態,風險可見一斑。另以工業 4.0 而論,對駭客亦是大好題材,近年工業 4.0 議題談得沸沸揚揚,但在具體實踐上,現在才正起步,許多工廠仍處在半自動化狀態,但即便只是半自動化,已給予駭客上下其手的管道。美日已有工廠感染勒索病毒,導致產線停擺,最終只能付贖金了事。若類似場景出現在智慧城市領域,影響公共資源甚或關鍵基礎設施運作,後果更不堪設想。

鄭奕立指出,目前全球平均每 30 秒就有一波小規模勒索病毒的攻擊發生,代表人們遭受勒索將成家常便飯,且隨著 IoT 裝置數量激增,萬物皆可能被勒索,背後影武者猶如「黑幫」,不斷製造一次次完美風暴;因此企業須體悟,現在最大威脅不再是傳統的資料外洩或進階持續性威脅(APT),而是新型態網路黑幫,突顯過往邊界式防禦體系有所不足,急需強化。

「攻擊就是最好的防禦,」鄭奕立說,資安永遠有盲點,企業必須採取主動防禦策略,而 Level Up 的落實關鍵在於三件事,首先須持續實施資安教育與模擬訓練,就連 CEO 等高層也同樣受訓,促使公司上下保持警戒,讓資安 KPI 概念深植人心。

其次應朝向 SOC 2.0 目標邁進,在公司內部設置獵捕團隊,期使資安防護的眼界不要停留在已知事件處理,能透過主動偵測分析,察覺每一個潛在危害。再者則透過「紅軍」(Red Team)方式自己打自己,逼使資安盲點及早現形,避免成為後患。

實踐 SecDevOps,從源頭阻斷風險

資安 Level Up 構面其實很多,包括風險管理、資安藍圖、資安政策及資安應變,都需要有所精進,但此外最核心的關鍵要素,則是整個資安治理環節的全面 Level Up,不論民間企業、政府機關均是如此。

行政院資通安全處處長簡宏偉認為,欲提高資安治理水平,關鍵在於有無「痛」過,多數單位往往痛了才學到教訓,不再僅做口頭的資安宣示,開始真正投入資源;去年(2016)發生多起資安事件,證明單憑個別機關、運用傳統防毒或防駭工具,已不足以有效處理資安問題,所以必須儘快建立聯防體系,不只是公務機關之間的聯防,範圍必須擴及關鍵基礎設施,且需要產業的支持,因此在政府擬定的第五期資安發展方案中,特別強調推升資安產業自主能量、孕育優質資安人才,便是要讓國家聯防體系的底子扎得更深更穩。

新光金控章光祖指出,以資安議題來看,金融業一直是備受關注的領域,尤其現今駭客行為明顯偏向牟利,首當其衝的金融業更面臨重大威脅;但最大挑戰在於數位金融、電子支付等等新服務崛起,加上業者為提升 Time-to-Market 速度,紛紛投入敏捷式開發,這些新變數,若不靠對應的防護工具、制度來審慎處理,無疑是災難的開始。

章光祖接著說,一直以來銀行基於風險控制,對於新科技運用步調,始終顯得保守謹慎,然而雲端、大數據、人工智慧等浪潮洶湧來襲,已不容許銀行繼續框限於保守立場,故如何在引進新科技的同時,猶能納入安全掌控,還有許多學習進步的空間,亟待產業、政府共同協助。

鄭奕立指出,相對於政府或一般產業,高科技業做資安相對辛苦,尤其軟體業更是苦上加苦,只因軟體工程師是一等一聰明人才,不傾向受安全政策束縛,甚至有能力繞過管控機制;趨勢科技除面對以上考驗外,更因頻繁採用各式公有雲服務,徒增更多不確定性。

在此前提下,趨勢科技鎖定兩大資安治理重點,一是防範資料風險,舉凡哪些資料可上雲端、哪些不行,相關處理機制都落在 CEO 層級,意即需要經由 CEO 把關檢視,員工才能展開資料處置措施,以期將資料遺失風險降到最低;另一是嚴格執行兩段式加密,如此即使資料遭竊也不會洩露機密。趨勢科技希望藉由這些舉措,徹底實現 SecDevOps 精髓,達到 Security-as-a-Core 目標。

FINTECH 盛行,一併檢視老問題與新風險,遏止金融犯罪

如前所述,當前駭客發動惡意攻擊之目的是謀取利益,因此與「錢」相關的金融犯罪行為,絕對是值得嚴防的資安議題。

趨勢科技進階威脅防禦研究核心技術研發部協理 Serena Lin 表示,從古至今只要錢財聚集之地,一定有犯罪行為,歸納金錢乾坤大挪移心法,包括傳統的土法煉鋼法,唯手法不高明且成功機率偏低,以致衍生後來的高科技方法。

環顧攻擊方法,側錄是一種常見模式,譬如在 ATM 設置錄影機,竊取帳戶資料與密碼,接著製作偽卡提領現金,全球銀行每年因此而損失的金額高達數千萬美元。此外一些針對網路銀行的惡意工具也不斷現身,例如可能導致網路存款人間蒸發的網路銀行木馬,或是兼具竊取帳號密碼、結合勒索病毒、破解雙重認證機制等眾多特質的惡意行動網路銀行 App。

針對銀行、企業組織進行金融犯罪的行徑,近年時有所聞,例如 Carbanak 目標式攻擊,乃至危害程度更高的變臉詐騙、商業流程入侵、DDoS 攻擊勒索,甚或圍繞於區塊鏈題材所引發的種種威脅,包含數位貨幣採礦病毒、交易中心被黑、智能合約漏洞、加密貨幣投資平臺受駭,及針對比特幣錢包的惡意程式,都開始蔓延滋生,形成許多新風險。

Serena Lin 總結上述金融犯罪案例,主要癥結來自兩方面,其一是「老技術、老問題」,諸如軟體及系統弱點、程式沒寫好、木馬或惡意程式、密碼管理失當、APT 等等皆屬於此類;另一則是「新技術、新風險」,包括數位貨幣的匿名、隱私(參與者沒有被遺忘的選擇)等特性,及法規、監管、控制等對應機制的不足,都是造就新風險的主因。

強化基礎架構,嚴防 APT 結合勒索病毒入侵

不可諱言,一旦令人聞之色變的勒索病毒結合 APT 手法全面入侵,企業是否有足夠防禦能量可全身而退,肯定是值得深究的課題。為此趨勢科技資安事件應變小組資安顧問黃哲軒,特別分享發生在臺灣的實例,期使企業從中獲得省思。

黃哲軒透露,不少企業對於低頻且持續的 APT 攻擊,未見實質上危害,因而「沒有感覺」,殊不知假使駭客偷資料再加密,等於一隻羊被剝兩次皮,甚至讓公司營運完全中斷,絕對是一大夢魘,這般血淋淋例子確實發生。

某企業的 DMZ 內網伺服器遭入侵,連累內部大量主機遭到加密勒索,即使該企業試圖回復備份,卻立即被駭客警告此舉完全無效,因為有太多漏洞可被利用,就算企業執行回復仍將繼續加密。顯見這並非一般病毒事件,而是針對性攻擊,駭客取走帳號密碼如入無人之境,企業卻對入侵來源、漏洞渾然不覺。

追根究底,乃是企業採取錯誤的防火牆規則設計、例如大量主機使用 Allow All 設定,加上過於簡單的密碼設定、脆弱的網路架構、僅針對邊界的過時偵測與保護機制,都是惹上災厄的主因。記取他人經驗,企業應立即依重要程度區隔網段,並建置內網流量監控與終端防禦機制,由專人專責執行資安監控,同時打造完整的資安事件應變處理流程,務求找到入侵管道、即刻補強,才能重建資安防禦。

『CLODUSEC 2017 企業資安高峰論壇』更多精采影片回顧 http://www.cloudsec.com/tw/

熱門新聞

Advertisement