去年(2020)受到疫情及動盪的全球政經局勢影響,後疫情時代的經濟模式將持續高度依賴資訊科技來實現,面對隨之而來的資訊安全挑戰,身在資通訊產業的我們必須提高憂患意識。
企業欲檢視資安防護是否足夠或完整,建議可先從資安威脅事件發生的所在區域來分類,並輔以參考全球資安事件攻擊行為排行榜,再重新檢視資安與IT部門分工。從這些視角來探討後疫情時代的資安防護及風險,雖不能保證萬無一失,但作為企業資安體檢的項目也已足夠。
資安事件發生的所在位置能明確區分嗎?是終端設備、網路端口、還是在資料中心內的工作負載?的確,以近年來駭客越來越有耐心的手法來說,並不容易定義資安事件的發生位置。攻擊能夠成功,通常是因為環境出現漏洞,整條縱深路徑凡走過必留下痕跡,尤其高明的駭客越來越懂得抹去這些痕跡,端點、網路或是作業系統上的單一防護方案,已經無法有效地防禦入侵攻擊,使協同運作的縱深防禦系統,對企業來說變得更加重要。
遠距工作儼然形成常態,暴露在風險中的設備與帳號快速增加,企業也面臨兩大挑戰,第一是防護系統如何能快速部署到所有需要防護的端口;第二是攻擊手法日新月異,防護系統是否能夠即時更新版本或特徵檔,就算能及時更新,資安廠商尚未確認攻擊手法並轉換成特徵碼給到企業,這段資安空窗期企業往往是遭受損失最大的一方。
系統漏洞修補與特徵碼更新是一個無窮迴圈,除了想盡辦法做得更快、更準確之外,導入無代理程式(Agentless)則是另一個值得嘗試的方法。「Agentless的境界很高很難實現吧?」是許多人的疑慮,但即時修補即時系統難道不會更難嗎?目前終端設備很難無代理程式,但網路端口和資料中心內的工作負載已經有這樣的解決方案。它的實作觀念是在虛擬機內部,不需要安裝安全軟體的代理程式,由虛擬化平台(Hypervisor)直接對運作在其上的虛擬機或容器進行防毒和防駭的保護,不用安裝代理程式除了免去曠日費時的即時更新,對於業務系統的穩定度也大有幫助。
今天的防禦工具多半是基於昨天以前的攻擊手法剖析而來的,但是遭受新型病毒和未知攻擊時又該如何面對?新一代的防禦思維,是藉由收集、分類、分析、預測等步驟,將所有系統行為轉化為可疑行為,對於未知的攻擊行為做出預判,在偵測到攻擊意圖的時候,就透過收集全球資安事的數據分析行為,藉由AI預判能力預先進行防禦的準備。
無代理程式和對於未知攻擊的防禦能力是兩個很重要的資安發展趨勢,下一篇再跟大家分享2020年的資安事件排行榜報告中,看到了哪些攻擊手法,藉由這些資訊再進一步深入探討未知攻擊防禦的奧義。
<本文作者:吳子強現為VMware副總經理暨技術長>