從近年爆發的資安事件來看,攻擊者往往是利用合法的帳號或工具來達到目的,顯見基於用戶帳號或設備的信任模式,已難以降低資安風險,也促使零信任架構浮上檯面。
趨勢科技日前在Vision One平台上增添零信任風險評估(Zero Trust Risk Insights)與零信任安全存取(Zero Trust Secure Access)機制,透過持續地監看與分析操作行為,一旦風險數值超過水平,立即執行隔離、限縮存取等保護動作,以免爆發資安事故。
趨勢科技資深技術顧問吳宗霖認為,零信任本質上是一種策略,實施方法牽涉整體應用環境,並非導入部署單一解決方案即可達成。從過去帳密驗證通過後即可通行無阻,或公發設備都預設為接取內網立即可用的權限管理模式,欲轉換為零信任,將有許多環節須調整。以趨勢科技為例,甚至對實體網路線增設保護機制,只要設備接取到網路連接埠,若非正向表列允許接取的MAC位址則一律禁用,並依據部門配置微分段區域,限縮可能爆發滲透感染的範圍。
XDR偵測操作行為風險環節
零信任的方法論,實作上必須由許多機制相互配合,最終的精神是針對用戶、裝置、應用程式都以「永不信任、始終驗證」原則執行管控。吳宗霖指出,前述提到實體網路採用白名單機制,再加上無線網路與應用程式增添雙因素驗證,甚至設備環境須通過安全檢查,皆屬於基本作為,尚須以風險評估為基礎建立控管措施才可從工作流程杜絕隱患,故首要得先提升可視化能力。
「趨勢科技發展多年的解決方案,範疇涵蓋端點、網路、網頁、郵件系統,皆可扮演感知器的角色,再加上整合第三方技術的日誌檔案,全數彙整到Vision One平台,餵入零信任風險評估運行分析,針對企業營運、設備、帳號等指標計算出分數,據此判斷風險等級。」吳宗霖說。
威脅調查與風險評估模式區分的維度,首要的威脅檢測(Threat Detection)較為單純,只要防毒軟體、入侵偵測系統判斷為病毒事件,風險分數就逐次增加。其次的XDR偵測,針對用戶開始下載合法工具、操作執行、Dump記憶體指令,每個動作都給予評分,總合成為風險分數,可藉此防範近年來攻擊者經常利用合法工具執行的攻擊行為。
由於XDR是基於雲端建構的技術,儲存空間與運算能力得以適時因應用量彈性擴充,才能充分容納多種感知器蒐集的活動記錄,達到即時檢測。做法是先透過Vision One平台上的OAT(Observed Attack Techniques)關聯比對產生拓樸圖,具體地指出高風險的環節並且發出告警,IT或資安人員收到後可從關聯圖追蹤事件的細節。
趨勢科技資安研究團隊負責撰寫與調整OAT規則條件,並以機器學習演算模型輔助分析,隨著攻擊手法變化進行調整,例如近期被揭露危險性相當高的Log4j漏洞、國際間駭客組織習慣採用的中繼站、惡意程式特徵碼等最新情資,皆可即時納入演算模型。搭配類似SIEM系統的OAT規則條件,企業用戶無須具備專業人力執行維運,若有特殊情資上傳到Vision One平台,即可運用最新威脅情資模型判讀風險指數。
追蹤應用程式活動軌跡防水坑式攻擊
應用程式活動軌跡亦屬於威脅調查與風險評估模式維度之一。例如曾發生系統整合商出於善意,把政府單位相關標案蒐集整合到自家網站,以便於相關廠商查看,不料卻被攻擊者利用來成為跳板,讓廠商存取網站公開的檔案時遭到惡意程式滲透,演變成為典型的水坑式攻擊(Waterhole Attack)。相同的狀況也可能發生在用戶端,對此,安裝於端點設備的方案可掌握作業系統環境與App,以及App後端連線接取的網站,透過爬蟲技術檢查合規性、安全性特徵、防護措施,並且評斷該App遭滲透入侵的機率。
在評估連線網站的風險值時,若該網站符合愈多國際規範例如GDPR等,意味著保護措施愈完善,對安全性控管較為嚴謹;即使未達合規性,但若網站具備雙因素驗證、抗DDoS攻擊、入侵威脅檢測等機制,足以顯示具備自我防護力,風險等級便較低。
此外,評估帳號入侵(Account Compromise)、漏洞偵測風險指數可說是零信任架構必備的要項。帳號入侵評估標準是異於常態的登入行為,同時也解析暗網中販售的帳密,隨即相互關聯,並凸顯出該帳號屬於高風險。至於漏洞偵測,始終是作業系統與應用軟體弱點掃描必備的要項,公部門、金融等高度監管的組織,已有明文規定至少半年得執行一次,對此,趨勢科技的漏洞偵測,則是每天比對登錄檔,若長時間未曾安裝修補更新,風險數值將隨之增加。此外亦會比對已發布的漏洞編號,依據危險等級、全球流行程度建議安裝修補的優先順序。萬一系統或軟體不允許安裝漏洞修補程式,還可啟用趨勢科技提供的虛擬補丁(Virtual Patch)防護,以免遭攻擊。
安全存取強制套用措施緩解風險
針對應用場景中較難判讀的異常活動,主要是由端點代理程式先行學習用戶所有操作行為,包含開關機時間、登入帳號、經常開啟的App等,建立用戶行為準則後,藉此建立正常行為模型,當偏離正常軌跡時風險分數也隨之提高,以凸顯異常狀況。
趨勢科技資深技術顧問吳宗霖認為,各家廠商基於擅長的技術領域發展零信任機制,整合成為可被落實的架構,以發揮「永不信任、始終驗證」的精神,逐步協助企業引進,讓混合辦公模式得以提升防護等級。
「除了前述說明的風險等級評估維度,目前趨勢科技研發團隊正在積極發展資料存取風險評估,預期將在2022年發布,協助企業判別敏感資料的標的與重要性,進而制定保護措施,防範外流事件發生。」吳宗霖說。
零信任風險評估協助企業定義使用者、設備、應用程式、工作流程的風險數值,零信任安全存取則是強制地套用措施來緩解,藉由整合後端Azure AD,以「人」為核心設計控管政策,依循風險評估產生的數值,在風險評估值過高的情況下,將實施強制重設密碼、禁止帳號登入內部系統等動作,同時告知使用者觸發控管措施的原因。抑或將高風險行為者強制導引到Proxy模式偵測與過濾,讓潛在危險因子盡可能可被控制,避免導致營運受損。