不管是病毒感染、垃圾郵件、網頁安全或資料外洩,背後所存在的惡意攻擊本身已成為一個產業鏈,上游駭客負責撰寫惡意軟體,下游竟然出現僱用人負責遙控傀儡電腦,植入惡意程式,Bots寫作的人或駭客組織可以賣出惡意程式、或收取租金、或收到別的駭客組織委託的工作、或藉傀儡電腦上網廣告點擊賺錢等。這樣的機制在地下交易市場中越來越盛行,會有這樣的產業鏈出現,代表背後有龐大的利益可圖。
Websense台灣區技術經理林秉忠表示,以往做流量控管時都在防止Sync flood等大流量,但是現在駭客攻擊卻以控制真實的Client去瀏覽企業網站,很難判斷惡意存取行為。過去駭客寫病毒只是為了炫耀,或像是疾風病毒會造成電腦當機重開,或SQL slammer等攻擊會造成暴量網路流量,類似這些的攻擊手法,都讓資訊人員有跡可循找出問題原因。然而現在的惡意軟體很狡猾,會偽裝成正常的程序存留在電腦中,也不再去破壞系統,甚至希望系統越正常越好,還有可能幫系統上Patch。駭客也怕撰寫的惡意程式被企業導入的資安方案偵測到,或是擔心別的駭客組織搶地盤,互相將惡意程式移除。
不僅惡意程式愈來愈難被察覺,另一方面,可能遭到攻擊的目標卻愈來愈多。最近發生的透過PDF漏洞感染iPhone及iPad的事件,表示Apple的作業系統已經成為攻擊目標。
因此,在Client端偵測惡意軟體的困難度上升,因為多數惡意行為以正常的方式存在,所以防毒上遇到瓶頸,不管閘道端或End-point端都存在同樣的問題-病毒碼的更新無法即時追上最新的病毒。他表示,為了解決這樣的問題,現在資安廠商透過雲端收集攻擊特徵,希望透過全球使用者的回報將資料建立地更加完整,Websense運作已6年多的ThreatSeeker Network就是以此概念為基礎的雲端病毒收集中心。
Proxy管制
「過去製作病毒定義檔的防毒思維,現在靠雲端平台收集到很多資訊做交叉比對,雖有幫助但還是不可能百分之百防毒,所以應該以另一個角度來思考防毒。」林秉忠指出,電腦病毒感染現在都有背後的商業機制,主要即為偷電腦上的資料,或遙控電腦,所以如果關注在後端的行為分析將會是一個防護方向,也就跟資密資料外洩有關。
 |
| ▲Websense台灣區技術經理林秉忠表示,企業資訊人員不要只求應付眼前任務的字面解釋,或是只看見資安產品的限制,因為沒有解決方案是完美的,應該要先對公司資安有全面的認知,否則資訊安全永遠無解。 |
假設駭客最後的目的是要偷取機密資料,首先駭客勢必透過網路連進使用者電腦,再用E-mail、Web上傳或用後門以特殊Protocol傳出,而針對這三個傳輸管道目前市場中都有能對應的解決方案管控。
他以DLP方案為例,多數的DLP解決方案能在資料往外傳時檢查再放行,Web和E-mail都是DLP可以涵蓋的傳輸管道,甚至加密的檔案格式或未知的檔案格式,外傳時都可以解決,但是現在令人頭痛的是駭客自己寫的後門通道及HTTPS、SSL加密的管道,資安設備可能會無法管制。
但他表示,這也可以用簡單的方式解決,如果使用一台Proxy Server,使用者上網需要經過認證,認證完後才放行,只要Proxy看不懂的Protocol就不放行。而針對E-mail的做法,是讓一般使用者在E-mail使用上只准許連接內部郵件伺服器,Web Mail的部份就用Proxy解決,讓Proxy以Security Control閘道器的方式成為Man-in-the-middle(中間人),所有使用者都要認證,管制傳出的流量,也可以解開SSL檢查再放行。
因此整個企業使用者的上網行為就能建立明確的邏輯,讓E-mail去郵件伺服器,Web去Proxy,所有往外的流量都經過檢查以及使用者認證,因為駭客寫的軟體無法做認證,就算偷到憑證(Credential)還是要認證,這樣的參考做法,架構簡單成本低,又可以達到一定的效果。他表示,簡單來說就是看不懂的管道都阻擋,可以使用的管道都檢查,去阻擋惡意軟體進入企業之後的行為。
他表示,其實很多金融和高科技產業員工上網都要透過Proxy,將控制的點集中管理,就能在Proxy中做DLP,或是對網頁瀏覽安全做控管。將資訊安全問題簡化後,再做額外的加強控管,對企業資訊人員來說也能做到較好的資安管制。(更多精采文章詳見網管人第56期)