Credential Guard CounterBreach Shielded VM Fortinet Swarmbot IMPERVA Hivenet 中華資安國際 ixia 羽昇國際 中飛科技 中芯數據

知己知彼升級資安觀念 攻防戰中出奇制勝

2018-10-04
面對即將到來的數位經濟新世代,安全性已成為企業品牌與信賴度的重要指標。問題是對於第一線工作的IT人員而言,光是維持營運服務不中斷的任務已是焦頭爛額,隨著行動裝置、雲端運算、物聯網等應用打破傳統內網與外網的邊界,以往不具備連網功能的投影機、印表機、網路攝影機等辦公室裝置,如今皆已開放,隨之而來的資安風險更是應接不暇。
儘管近年來已有大型企業開始設立專屬資安長與資安工程師職位,絕大多數企業的資安問題仍舊是交由IT人員負責。在無法完全掌握資安風險的狀況下,利益驅動的駭客攻擊來勢洶洶,企業往往只能被動挨打,一旦遭遇勒索軟體、機敏資料外洩等攻擊,只能緊急尋求資安廠商協助因應與處理,以恢復正常運作。

其實,「與其被動挨打、不如正面迎敵」的主動式防禦概念,如今已成為資安領域共同的發展思維,藉由整合各式控制點產生的日誌資訊,建構大數據基礎平台,並且持續餵入外部威脅情資,運用現代機器學習與人工智慧建立自我學習機制,將可協助企業掌控潛在資安風險行為,在詭譎多變的攻防戰中確保安全。

可視性、分析、採取行動 全面打造內外網防禦

▲ Fortinet技術總監吳章銘指出,現代資安思維應該以人為核心,透過可視性先掌握網路上所存在的設備裝置,再基於分析技術辨識已知與未知的攻擊威脅。
就2018年資安威脅情勢來看,攻擊手法又再度地進化。Fortinet技術總監吳章銘指出,較受注目的當屬擁有自我學習能力的叢集Hivenet(蜂巢網)興起,有別於傳統殭屍網路,Hivenet環境殭屍電腦彼此之間可相互溝通,並依據分享的在地資訊採取攻擊行動,不需要中繼站指揮與控制,可自主判斷執行持續性滲透。攻擊者會把成功入侵的裝置組織成群集或群集殭毒(Swarmbot),可同時執行辨識與鎖定相異攻擊途徑,以便快速地創造更大的攻擊規模。

外部攻擊威脅手法正如火如荼地發展與進化,甚至顛覆過往必須透過中繼站遠端操控的模式,惡意軟體自主判斷即可執行滲透。反觀現代企業端應用環境,仍存在許多普遍的弱點尚未改善:首先是便利的網路連線接取服務,使用者隨時可以瀏覽網頁、下載檔案,可能誤觸滲透程式;其次是人們普遍存在好奇心,只要發動攻擊滲透的郵件主旨設計得夠吸引人,即可誘使點選惡意連結或夾帶攻擊程式的檔案;第三種是無線網路配置,仍有一些企業採用網頁認證方式,DHCP派發量有限,IT管理者卻無從得知,且欠缺安全機制;第四種則是鬆散的網路管理,企業IT網路環境架構皆為異質廠商發展的技術組合而成,遭遇問題時恐難以釐清根本原因。

現代惡意程式的橫向擴散能力,最經典的案例即是勒索軟體WannaCry,許多企業已經親身感受到它的危險性。但是目前仍待被關注的是,必須掌握究竟有多少裝置接取網路服務,除了已經納管的桌機、筆電、手機,正在增長中的物聯網裝置,管理模式卻仍在摸索當中,極可能成為惡意程式寄宿之處,透過網路傳播橫向擴散感染。

「物聯網應用已是大勢所趨,只是必須想清楚應該怎麼維運,資安廠商通常會建議嚴謹規範,問題是會影響用戶的易用性,以及增加IT管理複雜度。」吳章銘強調。因此現代資安思維應該以人為核心,而非機器設備,並且掌握三大方向,可視性、分析能力、採取行動。資安管理最重要的關鍵,即是透過可視性先掌握網路上所存在的設備裝置,再基於分析技術辨識已知與未知的攻擊威脅。

巨量安全資料分析釐清異常行為徵兆

▲ Imperva台灣資深技術顧范鴻志強調,大數據分析平台採用機器學習建立正常行為基準線,可輔助挖掘出潛在高風險的環節,讓IT管理者集中心力處理可能帶來危害的問題。
為了解決IT管理者每天接受到過多的告警資訊,難以消化與釐清重要性,企業通常會建置日誌伺服器來協助彙整蒐集,經過正規化處理以便於後續查詢。IT規模較大型的企業則可能採用SIEM系統,建立日誌之間的關聯性,再依據控管措施定義告警規則,只要IT人員能掌握SIEM相關知識與技術,即可發揮效益。

問題是,每天接收到數量龐大的告警後很難逐一登入查看,大部分線索只能忽略,Imperva台灣資深技術顧范鴻志指出,理想的狀況應該是化被動為主動的方式發現威脅,甚至是達到自動化,降低維運方面的負擔。「Imperva近年來已開始採用機器學習與人工智慧輔助,從資料庫稽核系統(DAM)與檔案稽核系統(FAM)記錄累積的巨量資料中,找出極少量高價值的資訊,強化資安的能力。」

他進一步說明,Imperva CounterBreach可持續、動態地濾除絕大多數正常行為,主動地降低敏感資料不當使用或被竊取的風險。經過過濾後發現少數非規律化的行為,可能未必為惡意,而是特殊任務產生的偏差,排除掉這類的行為後,剩下的事件再執行深入調查,取得更多機會發現資安威脅。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!