自從智慧型手機大量普及,兼以雲端應用快速發展,再加上網路頻寬不斷擴增以服務各式行動化應用需求,現今的企業IT架構,不論是用來提升營運效率的內部應用系統,抑或是對外的營運業務,變革方向莫不以終端行動化、服務雲端化為核心思維,藉由創新應用模式在瞬息萬變的市場中贏得新商機。但隨著這些趨勢而來的資安問題,也讓企業IT備受挑戰。
在企業資安領域已有近二十?年經驗的Check Point台灣、香港暨澳門地區總經理吳偉雄觀察,以往客戶只要鞏固逐層疊加的網路邊界防禦,例如所建置的防火牆、防毒、IPS、郵件與網站安全,即可有效降低資安風險。隨著行動裝置加入日常工作,用於阻擋外部威脅的網路安全(Cyber Security)架構,亦從閘道端進一步延伸其保護措施,擴展至桌面端、行動端、雲端應用等範疇,整合搭配全球網路威脅情資(Threat Intelligence)建立端到端的威脅防禦,以協助企業邁向數位化應用世代。
利用消費者喜好 滲透進入公司內網
吳偉雄引述Check Point內部統計數據指出,全球每天大約有一百二十?萬台手機遭受感染,入侵管道不外乎自行下載的App與免費Wi-Fi連線潛藏滲透程式,目的皆為謀取不法利益,例如近來在全球掀起熱潮的Pokemon Go(精靈寶可夢),在歐洲地區推出後兩天即出現偽裝的寶可夢遊戲自行安裝檔。SonicWALL台灣區業務協理陳建宏亦指出,日前在台灣開放後大受歡迎的寶可夢,在開放之前就已被惡意人士利用,宣稱提供寶可夢離線安裝的APK檔案,結果卻是加密勒索軟體。
其實App可能會被惡意人士運用逆向工程(Reverse Engineering)技術予以解構並加工,夾帶惡意程式碼後再包裝成冒充的App,透過上架或直接提供APK檔案免費下載安裝來散佈,使用者在欠缺保護機制與安全意識下,很容易淪為犯罪者的跳板,讓外部威脅直接進入公司內網。
如今行動裝置普及與雲端應用服務的盛行,徹底改變人們的工作習慣。吳偉雄指出,當新興應用在發展初期,大多僅以提升使用者體驗為核心思維,畢竟技術能力再強大,若無法為用戶帶來方便性,仍舊無法被大眾所接受。然而,方便性與安全性卻往往是天秤的兩端,企業接受行動應用模式後發現方便性極高,可藉此提高生產力,但運行後卻發現資安事件頻傳,於是才開始重視,強化防禦體系。
 |
| ▲近年來外部資安風險轉變的速度加快,任何仰賴網路傳輸媒介來實踐的新興商業模式,皆無法迴避隨之而來的攻擊行為,尤其是物聯網。建構全球威脅情資、實施端到端的威脅防禦,可為即將到來的物聯網時代建立保護措施。(資料來源:Check Point) |
從ATM盜領事件 學習強化防護措施
在謀取利益的強大誘因之下,現代化的攻擊模式已由單一病毒或執行程序,進化到新舊技術夾雜運用的混合式手法,即使當下被資安機制偵測、攔阻、清除,一段期間後又會出現相同家族的變種病毒,持續不斷地針對特定企業發動滲透入侵,未得逞絕不罷休。台灣日前發生前所未聞的第一銀行ATM盜領案件,即是被國際犯罪集團鎖定攻擊的受害實例。
對此重大事件,Juniper企業客戶副總經理王裕民分析,全球的ATM網路架構皆為封閉式,提款主機上配置的防火牆執行Site-to-Site VPN,連線回到位於總部核心網路層的防火牆,該獨立的網路環境,即使是內部的帳務核心系統也無法直接接取。因此欲執行竊取提款機內部資料,或植入木馬程式,勢必需要經過重重關卡,難度相當高。
在網路環境中,每台提款機皆擁有辨識身分的代號,可能是透過VPN ID、VLAN ID等方式定義,以便讓核心路由器對應提款機的實體位置。然而即便提款機系統內已被植入許多木馬程式,若未經觸發,該程式不會自動執行。王裕民說明,以機器的運作邏輯來看,必須要先得知代號,遠端才能準確地呼叫啟用,以免提款機同時執行吐鈔。而盜領案的車手竟可以走到實體提款機前,撥打電話後,遠端即可得知代號,觸發木馬程式執行。熟知網路底層運作的IT人員不難理解,犯罪集團應該是已經掌握每台提款機的位置名單,才有能力得知每台提款機於網路環境中所定義的ID或命名規則,現地盜領得逞。
其實若網路環境中有建立即時辨識並且阻擋的機制,被植入的木馬程式根本無法被觸發。因此改善的方式,王裕民認為,可直接在防火牆平台上啟用IPS功能,監看內部入侵行為,同時運用嚴謹的白名單機制,僅允許原本提款機運行時需要的程式得以執行,如此一來,即便犯罪組織植入的木馬程式技術再精良,皆無法被觸發。
網路威脅情資服務 輔助辨識與事件回應
為了提高辨識進階式威脅的能力,原本閘道端的網路安全防護業者,皆已各自建立了全球網路威脅情資平台,例如Check Point ThreatCloud、Juniper Sky Advanced Threat Prevention、SonicWALL Capture等,整合來自不同技術領域組成的龐大資料庫來強化偵測率,並且運用雲端平台建立沙箱模擬分析機制,一旦發現執行程序中含有可疑行為,隨即通報企業內部終端防禦機制啟動攔阻,讓風險降到最低。
就SonicWALL近期發布的SonicOS新版本6.2.6來看,即納入Capture雲端服務協助即時偵測。陳建宏說明,Capture服務中包含雲端沙箱分析,主要特性是分析引擎採用三種不同技術,包括專門因應APT攻擊的Lastline、擅長解析Hypervisor環境的VMRay,以及SonicWALL既有的分析技術共同提供,藉此提早發現不同應用環境下的新形態惡意執行程序,並直接通知閘道端設備執行阻斷,同時發出告警通知。
此外,對於遭受未知型惡意程式滲透感染卻不知如何運用自動化工具處理的企業,Check Point ThreatCloud於服務內容中亦可提供事件回應(Incident Response),例如直接聯繫位於以色列總部的SOC中心,由資安專家客製化撰寫防禦程式,以免再次遭遇同類型的攻擊。