QRadar Security Intelligence Platform Advanced Persistent Threat Application Defender Threat Intelligence Real-Time Analyzer Incident Forensics TippingPoint Kill-chain WebInspect Palo Alto Openfind Big Data ArcSight SIEM IBM APT HP IB 資安

正視漏洞入侵必然存在 企業資安思維轉向

2014-12-03
資安威脅層出不窮,每年都有新變化已是一種常態。今年自年初起,被廣泛應用於IT基礎架構的傳輸加密程式OpenSSL,爆出已存在兩年之久的Heartbleed漏洞,可能讓伺服器記憶體中的加密金鑰、帳號、密碼等資料曝光,引起全球高度關注。
尚未平息之際,九月份又出現Unix-Like系統殼層介面的Bash漏洞──Shellshock,管理者權限可能因此被盜取,危害的程度不亞於Heartbleed。日前,美國國家標準技術研究所(NIST)發布加密通訊協定SSL 3.0的POODLE漏洞,在加密連線建立時可能遭受中間人攻擊,儘管影響程度不若Heartbleed與Shellshock嚴峻,對企業營運而言,漏洞問題皆是潛在風險,仍舊須謹慎因應。然而除了這些幾乎全面影響所有相關系統的標準協定與底層服務架構之外,企業對於內部系統的環境與組態更要留意安全性,畢竟經由作業系統或應用軟體的弱點滲透,已是現代駭客穿透企業防禦城牆的主要方式。

控管特權用戶 降低資料外洩風險

以往的企業IT環境可清楚定義網路出口及邊界,建立多層次防禦嚴加監控,因此外部威脅必須逐層突破防火牆、入侵防禦系統等措施,攻擊路線較能被掌握。IBM軟體事業處業務專案經理金天威觀察,隨著近年來IT應用環境朝向行動化、雲端化發展,各個行動裝置皆可經由電信網路連接上網,根本不須經過內網,也就無法接受既有資安政策的控制。再加上過去可全面禁止連線至社交網站等行為,如今因為企業的業務型態轉變,必須因應客戶使用習慣改變而適度開放,如此一來,只要得以連接上網的裝置皆成為潛在的弱點。

只是安全防護等級愈高,勢必喪失便利性,尤其是朝向行動化應用模式發展的企業,勢必無法兼顧。「企業在意的是外部威脅可能造成資料外洩,造成商譽受損、智慧財產被竊取。就大型企業或銀行業來看,便會選擇從內部環境著手防範外部威脅,例如今年相當受關注的特權用戶控管。畢竟能接觸機敏資料者,權限勢必相當高,一旦攻擊活動成功取得權限即可輕易的竊取。」金天威說。於是銀行或大型企業用戶會投入較多資源建置特權用戶控管機制,不僅配置適當的權限,且執行動作皆需留下記錄,擷取操作畫面,建立事後追蹤機制。

多方蒐集威脅情報 強化現有機制感知力

邊界安全可說是多數企業資安傳統重點守備區域,防範由外而內的惡意攻擊。HP資訊安全事業部北亞區資深技術協理蕭松瀛觀察到,隨著攻擊手法轉型為APT(Advanced Persistent Threat),駭客會先經由外部公開資訊研究鎖定的企業資料,再客製惡意程式,設法先透過郵件、網頁等管道感染(Compromise)端點,使其成為殭屍網路成員後,即可在不觸發邊界防禦機制下擴大內網滲透範圍,採集內部文件的相關資訊,最後傳送至中繼站。這整個攻擊過程即是資安業界所謂的「Kill-chain」。

Palo Alto Networks技術經理藍博彥指出,因應Kill-chain攻擊行為討論的焦點,不論是針對郵件、網頁、檔案的檢測,均偏重在閘道端增添沙箱技術,畢竟閘道端是最主要進出的管道。但是行動裝置也可能夾帶惡意攻擊程式進入內部網路,多數企業內部幾乎沒有偵測與防禦機制可以抵擋。


▲掌握Kill-chain攻擊行為完整程序,從中破壞任一活動持續執行,以阻止機敏資料成功被竊取。(資料來源:Palo Alto Networks)

蕭松瀛認為,偵測機制勢必要從Kill-chain攻擊模式著手。例如活動中的惡意程式一定會聯繫中繼站以取得攻擊指令,因此可建立威脅情報(Threat Intelligence)機制,來強化即時發現的能力。HP長期經營以社群來源為基礎的資訊安全智慧平台Threat Central,即可提供成員們彼此分享遭受資安威脅的經驗、解決與應對措施,以擾亂攻擊活動防止成功竊取資料。

「從多種管道取得Intelligence,強化現有資安機制的感知能力以外,另一個關鍵是要能夠自動在邊界防禦建立抵擋機制,及時阻斷攻擊活動。」蕭松瀛強調。例如經由ArcSight整合眾多不同層面的資安資訊,並進行關聯分析,指出資安異常行為,進而跟TippingPoint等防火牆或入侵防禦系統連動阻斷,才足以因應潛藏於內網的威脅。

緊盯應用程式存取、漏洞及早發現 避免資料因此外洩

不論是內部、外部、伺服器群組、行動裝置等,只要得以連線至公眾網路的節點,皆存在不同的潛在威脅,就防禦思維而言,首先必須掌握防護標的。既然駭客活動的主要目的大多為盜取存放在資料中心的重要資料,自然是重點實施保護措施之標的。藍博彥觀察,近年來全球企業皆相當關注資料中心的防禦,APT攻擊可說是相當大的原因,為了避免攻擊可能潛伏在任何行動裝置後被攜入內部網路,進而威脅至資料中心,於是開始運用具Layer 7技術的連線行為控管與防禦機制,以正向表列定義允許進出通行的應用程式,其他則一律攔阻。

當然滲透行為也可能是利用應用程式本身的弱點發動攻擊,畢竟現今的資訊系統許多是以Web-based方式提供,一旦朝向行動化應用環境發展,開放允許員工隨時隨地連線存取時,同樣會被駭客工具分析掃描找出潛在的弱點。對此HP日前推出Application Defender雲端服務,作法是在網頁伺服器上安裝代理程式,藉此記錄攻擊相關資訊,之後再將Pattern送回到整合分析平台,即可發現攻擊者的行徑。

Application Defender運用的技術主要是來自Fortify產品線中的RTA(Real-Time Analyzer),本來就具備WAF機制,如今被建立在網頁伺服器上之後,便具有可即時辨識攻擊行為的能力。在發現後,線上的應用程式若無法即刻離線進行修改補強時,可先行透過Application Defender提供的雲端監看平台,執行攔阻特定程式的特定攻擊,例如最常見的SQL Injection。「儘管程式碼的問題尚未排除,至少可透過不同機制為IT人員爭取修復的時間,在應用程式離線修補前,避免資料循此管道外流。」蕭松瀛說。

資安的思維正逐漸隨著威脅型態日漸轉變,偏重於建立主動防禦機制,也就是經由了解駭客攻擊模式,決定防禦機制。只是現代駭客的技術與手法變化速度之快,有能力藉由主動防禦機制掌握的企業並不多,網擎資訊雲端服務副總張嘉淵提醒,既然無法預測與掌握,不如在「資安事件一定會發生」的假設下,借助專業資安顧問的知識與實務經驗協助,不僅建立重點式的防護措施,更重要的是制定一套快速回復的作業程序來因應,才能有效地確保企業營運不中斷。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!