Solarwinds 事件的省思，您企業資安是韌性還是任性?

         最近 Solarwinds 攻擊事件所造成之影響範圍還在調查中，而回顧過去幾年也曾經發生過類似案例，如 2013年 韓國史上最大 APT攻擊事件，利用防毒軟體更新，攻擊金融機構、電視台等六家企業，影響範圍超過 487,00台端點電腦、伺服器與 ATM 主機 ; 2019 年，國內某知名 Notebook 廠商也因 Live Update 更新服務遭利用來散播後門程式，預估影響約 100 萬台電腦。除了外部威脅不斷演進，排山倒海而來的新冠疫情也加速改變了企業營運模式，遠端工作者、行動裝置、自攜裝置、IoT 設備、雲端應用等新興資訊應用，催促著企業數位轉型的腳步，企業資安防禦架構也不斷追逐數位轉型的腳步，企業資安面臨著前所未有的壓力。

         根據 Verizon 2020 資料外洩調查報告，從威脅來源 （Threat Vector）分析資料外洩事件，其發生有 70% 來自於外部的威脅來源，而犯罪集團就是最主要的來源。報告也指出，82％的外洩事件於企業現有的資安管控機制應該都可以被阻擋，但從結果來看並沒有，我們稱它為 Protection Failure，而資安團隊的責任就是得在攻擊者利用這些 Protection Failure 之前，更早一步找出這些控制失效的點並改善。報告也指出，從攻擊者的角度來看，攻擊者因為成本考量，目前仍使用最常見的漏洞及手法進行攻擊，且攻擊成效很高，由此可見，企業雖採用很多資安防護方案，但資安管控不一定是相對有效的。從防守者的角度來看，根據 PONEMON 最新調查研究報告指出，53％的 IT 主管不確定他們所採取之資安管控措施是否有效，對於能否阻擋最新資安威脅沒有信心。

         企業在積極數位轉型的同時，資安防禦觀念是否也要跟著數位轉型了? 企業的防禦理念應該是要基於以下的假設前提：

『即使在最糟的情況下，損害仍然需控制在一定範圍之內』，也就是所謂的企業資安韌性。

         而現今絕大多數組織與企業都無法完全掌控自身的 IT 環境及資安管控之有效性，無法根據各種最新威脅手法及情境，有系統地且全面地進行測試與驗證，也導致企業始終難以確認其資安管控機制是否有效，也不知道一旦被攻擊成功後，企業資安的韌性有多少？企業要如何強化資安韌性，根據 Accenture 最新企業資安韌性報告，身為資安領導者之企業之所以為領導者之原因，主要有四個面向遠優於其他企業 : 阻擋更多攻擊、更快發現、更快修正資安破口、降低損害所造成的影響。而有什麼方式能協助企業強化各階段之能力及資安韌性？

         弱點掃描是現今企業採用最基本安全評估工具，可以持續自動化掃描，並找出未知的資產，根據 MITRE ATT&CK Framework 定義有 13 個戰略階段，弱點掃描大部分針對攻擊鏈的入侵階段進行弱點確認，特別針對入侵階段時，檢視資安軟體及管控是否有缺失，較難協助企業因弱點被入侵利用後產生風險排序等級；於驗證弱點被利用後的風險優先等級，目前企業多仰賴滲透測試或紅隊演練進行其他更多攻擊階段之資安防護有效性驗證，但滲透測試及紅隊演練都存在著執行間的時間差、有特定範圍、特定測試手法及測試人員經驗不一…等落差，目前企業沒有一個持續、標準化且自動化的方式，針對 MITRE ATT&CK Framework 各個階段的防護進行有效性確認，導致企業在資安防護的投資與實際防護的有效性之間產生很大的落差。

         Gartner 於 2017 年提出一個新的領域 Breach & Attack Simulation，簡稱 BAS，目的用來協助企業評估在各種攻擊面向及最新攻擊手法之下，企業藍隊防禦之內控與資安機制的有效性，以及資安事件反應與溝通程序的協同性。而 AttackIQ 即為 BAS 領域之領導者，透過 AttackIQ 可以提供企業以下價值：

• 確認企業資安防禦之有效性

         企業在採購及部署眾多資安防護系統下，AttackIQ 協助從攻擊者角度及手法進行其有效性確認，並根據驗證結果排序因防護落差所可能造成之風險等級，協助企業評估預算及資源之有效規劃，達到策略性之防禦目標。

• 提高資安防禦之持續性、即時性及完整性

         資安攻擊手法日新月異，企業資安防禦需與時俱進，AttackIQ 根據全球最新情資更新其攻擊手法，可隨時根據需求排程模擬攻擊，改善滲透測試服務與資安防禦要求水平之間的落差，包含每次服務與服務執行間的時間差、需選擇範圍之完整性不足、執行服務過程可能造成的生產環境衝擊、執行過程中 IT 及資安團隊人力所需配合的時間資源、服務過程可能產生之敏感資料接觸或洩漏。

• 優化企業資安維運之流程及反應時間

         透過 AttackIQ 模擬攻擊演練，可驗證企業對於既有資安事件回應流程之效率，例如可針對勒索軟體之攻擊進行驗證，於模擬攻擊過程中，企業可以檢視當勒索軟體攻擊過程，資安維運流程反應及處理速度是否符合預期，並根據結果優化資安事件處理流程、平均處理及回應時間。

• 協助企業進行資安防護方案之採購決策

         AttackIQ 協助企業找出其防護之落差及風險後，若欲透過採購新資安解決方案改善，可以於評估新產品 PoC 期間，驗證各個廠商提供的解決方案所能協助改善程度，並縮短 PoC 時程以量化該指標協助企業做出合適的採購決策。

         當類似 SolarWinds 這樣的大事件發生時，大家的注意力難免都會聚焦在新聞及其對企業的影響，但是明天的事件呢？這種追逐新聞事件和兵來將擋的應對方式勢必難以長久持續，不要讓企業資安管控任性發揮，孫子兵法 : 『知己知彼，百戰不殆』，從攻擊者角度、思維與手法，找出企業資安未知脆弱點，並透過即時、全面且持續性的改善方法，讓未知的攻擊不再成為企業的隱憂，有策略性並有效提高企業資安韌性。

如有任何資安需求，歡迎洽詢台灣區代理商數位資安，將有專人為您服務。

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司