近幾年高科技製造業積極發展智慧製造,卻接連傳出遭受勒索軟體襲擊,使得企業不得不重新檢視資安防護機制,尋求滲透測試、弱點掃描、SOC監控等資安服務,甚至是引進國際資安治理制度,以提升場域的安全性。
華電聯網產品與資安處副總鄭炤仁觀察,企業經營追求的是高營收,資安議題可說是近幾年才逐漸受到重視。不過從上市上櫃公司發布的重大資安公告來看,距離成熟穩定水平還有努力的空間,得落實持續改善。華電聯網產品與資安處資深協理楊仁吉認為,政府、金融業因應法規的要求,會進行相關資安防護工作與管理,但落實程度確實仍有可進步空間。其他產業除少數高科技製造業外,對於資安的相關工作仍停留在基礎的認知或缺乏完善管理制度,人員配置也大多為IT人員兼任為主,再加上員工對於攻擊威脅意識過低,僅憑IT的力量根本無法保障安全。
所幸繼政府機關、金控業以法規面要求內部設置資安長(CISO),金管會於去年(2021)年底正式發布新版「公開發行公司建立內部控制制度處理準則」,明定上市櫃公司須設置資安長,以及資安專責單位。在法規規範推動下,企業逐步把資安議題納入營運風險控管項目,預期整體安全態勢將往正向發展。
依循國際組織方法論評估資安風險
目前工研院、資訊軟體協會等單位皆可提供每年相關的資安風險評估服務,楊仁吉觀察,參加的企業日益踴躍,政府也要求上市櫃公司依「上市上櫃公司資通安全管控指引」做好資安防護工作並於年報揭露資安作為,甚至提供資安投資抵減政策鼓勵企業做好資安。鄭炤仁不諱言,「資安防護的投入對於企業來說是個不小的營運負擔,希望政府日後能多多提供誘因與配套政策,鼓勵企業做好資安防護工作。」
他進一步說明,風險評估目的是讓企業高層了解自家營運環境現況,範圍與執行方式可能牽涉政府法規、企業管理政策、營運策略目標,須得建立動態改善的流程,政府若能推廣與鼓勵各產業開始進行風險評估,即便僅為基本項目,亦可推動企業踏出第一步。
當前評估資安大多會參考美國國家標準技術研究所(NIST)發布的網路安全框架(Cybersecurity Framework,CSF),技術面則參考MITRE所發展的ATT&CK框架,施以紅隊演練入侵攻擊。中華資安國際鑑識科經理劉叡說明,CSF涵蓋了識別、保護、偵測、回應與復原五大功能、超過一百項控管措施,可對應到事前應該要做的資產識別與檢測,事中要有的偵測與保護資產能力,一旦不幸發生資安事件,事後也要能夠有應變與災難復原程序。企業若不知如何著手強化資安防護,或可按照CSF來制定政策與配置相關資源。
技術人員欲深入調查事實真相,則可參考MITRE ATT&CK,以釐清攻擊產生的原因,從駭客攻擊活動階段常用的手法,評估當前情勢屬於攻擊鏈的哪個階段。依照發生的狀況,藉由MITRE ATT&CK進行比對,得到可能未注意到的細節,例如在特定階段攻擊者還可能採用的其他手法,須盡速確認IT環境是否具備防禦能力。藉此可以提醒接下來可能發生的問題,以便及早擬定因應對策。
MITRE Engage實現主動防禦
MITRE ATT&CK框架彙整全球駭客組織攻擊手法,以建立一致性描述語言,涵蓋攻擊前、中、後可採用的入侵策略、技術及流程(Tactics, Techniques, and Procedures),對應至狙殺鏈(Kill Chain)各階段的活動,可作為參考以強化資安防護力。
MITRE Engage實現主動防禦,運用傳統防禦機制,讓攻擊者在順利潛伏階段,以交戰、阻斷、欺敵方式掌握攻擊活動,在尚未釀成資安事件之前先行反制。
安碁資訊技術副總黃瓊瑩指出,安碁資訊從2021年1月開始只要通報事件隨即同步對應到ATT&CK框架,並且系統化整理,至今仍持續進行中,最終研究成果可回饋到偵測平台提高識別度。否則過去都是事件爆發後經過調查與鑑識才得知未發現的攻擊活動,經過地毯式逐條整理,資安團隊可更加清楚疏漏之處。相較於人工智慧應用模式,這種方式屬於基礎工程,可善用既有資安設備達到目的。 「實際上,資安技術發展已相當成熟,透過資料的彙整與判讀,不僅可具體指出單點控制發揮的效果,同時提升SIEM監控規則的有效度。然而SIEM規則是在攻擊活動發生才會被觸發,屬於被動式防禦。因此多年來MITRE組織持續地研究主動防禦知識庫,2020年公布MITRE Shield,隔年2021年更名為MITRE Engage,聚焦於交戰、阻斷與欺敵,藉此化被動為主動。」
MITRE Engage提出主動式防禦的核心主軸為交戰、阻斷、欺敵。黃瓊瑩說明,交戰的意思是偵測到遭受攻擊當下的回應,例如資安設備偵測到威脅觸發執行攔阻、發送告警通知,抑或是進一步執行回應劇本。其次是阻斷,傳統上本就屬於資安防護技術處理攻擊威脅的方式。第三為欺敵,則是誘使攻擊行為曝光,進而影響其活動,例如轉而感染偽裝的誘敵系統,讓攻擊者誤認竊取得到的機敏資料為真。
從現況來看,傳統防禦機制主要部署在邊界,儘管網路連線的進出皆得通過檢測,內網環境實際上相當脆弱,一旦攻擊者運用各種手段進入,只要成功一次即可達到目的。MITRE Engage則順勢誘使攻擊者進入預先設計的陷阱,以實現主動防禦。
紅隊演練具體呈現資安防護價值
同樣以提升事前防護能力為訴求的紅隊演練,強調可在不影響企業營運的前提下發動模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行滲透,嘗試驗證企業指定的測試任務。
在台灣率先提供技術服務的DEVCORE(戴夫寇爾)商務發展總監鍾澤華觀察,自2017年戴夫寇爾推出台灣第一個紅隊演練服務以來便大受企業青睞,主要因素在於至今資安市場仍無法驗證尚未爆發資安事件的攻擊手法危險性。過去網路環境較單純、攻擊量能也較小,以往病毒襲擊導致營運中斷的案例不多見,近幾年勒索軟體為了獲取更大利益無所不用其極,地下經濟的產業鏈自然成形,同時也吸引更多菁英份子加入。
如今企業面對的攻擊者,不僅具備詐騙伎倆,多數甚至已有能力繞過偵測技術,實際上如同非對稱作戰,透過紅隊演練方式才得以扭轉攻防頹勢。另外,資安事件爆發後,IT或資安人員勢須檢討提報可避免類似事件再次發生的技術工具,若藉由採實際駭客思維發動攻擊滲透的紅隊演練服務,針對演練時遭到成功入侵的企業營運核心系統環節,引進防禦技術,較能讓高階管理層理解投入預算的意義。