面對即將到來的數位經濟新世代,安全性已成為企業品牌與信賴度的重要指標。問題是對於第一線工作的IT人員而言,光是維持營運服務不中斷的任務已是焦頭爛額,隨著行動裝置、雲端運算、物聯網等應用打破傳統內網與外網的邊界,以往不具備連網功能的投影機、印表機、網路攝影機等辦公室裝置,如今皆已開放,隨之而來的資安風險更是應接不暇。
所謂的正常行為,意即使用者基於被授權的帳號,在適當的時間、正確的位置,以合法方式做對的事。CounterBreach主要蒐集來自Imperva資料庫稽核系統、檔案稽核系統的日誌記錄,並運用機器學習建立基準線(Baseline),每天動態地執行判斷,便能夠以最精簡的人力與最少的時間,來達到風險分析、統計與管控。
 |
| ▲ 中華資安國際副理暨資深檢測顧問林峰正表示,實際在客戶端執行測試演練發現,網站仍舊是最容易被駭客鎖定攻擊的目標,並非僅為竊取個資,亦可能成為跳板,滲透到內部網路環境。 |
范鴻志舉例,由於資料庫系統主要服務的對象為前端應用服務,程式碼中攜帶擁有權限的帳密執行登入,此行為模式相當規律,若出現其他IP位址的應用程式連線登入,即屬於異常,得通知IT管理者著手檢查。因此必須依靠CounterBreach這類分析技術,主動挖掘出異常的行為資訊,才有機會阻止真實資安事件上演。
還有另一個狀況是存取過量資料。假設CounterBreach分析存取資料庫表格的記錄,經過機器學習演算分析,理解每天存取量不超過五筆,某天突然出現暴增為一千筆,便可識別為異常。甚至還可依據時間因子,即使登入帳密的來源IP、存取數量等皆如常,但是時間突然出現異於常態,有極高的可能性為惡意活動。
過去要發現前述潛在的高風險行為,往往須耗費相當多人力與時間,因此無法被落實導致發生資安事件。透過CounterBreach分析的協助,可以較為簡易的方式主動列出高風險行為,讓IT管理者集中心力處理可能帶來危害的問題。
此外,他引述Imperva內部統計資料指出,全球網頁應用程式大約有55%以上每天遭受一萬次攻擊,其中有57%需要調整政策以降低事件告警數量,因為有54%的企業因為告警事件過多而不知所措。「Imperva Attack Analytics可協助以智慧方式分析WAF安全事件,依據重要性建立排序與群組。運行邏輯基本上是先蒐集WAF所產生的龐大數據,再藉由機器學習與人工智慧分析事件,基於Imperva所掌握的威脅狀態,例如近期發生的攻擊手法、來源等情資,以確認風險等級,最後依照優先順序呈現,提高IT管理者維運效率。」
局端逐層過濾流量防正常服務遭阻斷
 |
| ▲ 知名資安專家黃建笙(方丈)建議,IT人員在執行維運工作時,往往會遭遇非常棘手的問題,實際上解決方式可能相當簡單,可透過社群等方式分享交流,讓問題排除功力得以藉此增長。 |
就上游ISP掌握的流量觀察網路攻擊樣態,中華資安國際副理暨資深檢測顧問林峰正指出,在平均每月協助客戶阻擋高達1億5千萬次的外部攻擊中,前三名主要為SQL Injection、SSH brute-force、RDP Buffer Overflow攻擊手法。此外,DDoS攻擊數量亦不容小覷,根據中華電信於2018年第二季統計,平均每天發生約449次攻擊,相較於上個年度成長3.8倍。測得最大攻擊規模為101Gbps,手法以UDP Flooding為大宗,透過反射、放大式創造攻擊量,較以往採用殭屍網路發動更簡單得以發動。
「中華電信針對DDoS攻擊的因應方法,是以多層次的架構,協同境外Tier-1運營商聯防,於境外攔阻攻擊訊務。流量進入骨幹環境時,管制攻擊特徵的IP訊務,最後導向清洗中心執行過濾。」林峰正說。
不論是DDoS攻擊、勒索軟體等威脅,主要的目的不外乎為了謀取利益。其實很多惡意行為正在發生,關鍵是企業必須有能力先一步偵測發現。林峰正以去年實際協助客戶處理資安事件舉例,客戶原本只是懷疑網站系統的資料遭異動,因此請中華資安國際的專業服務團隊介入檢查,才發現大約有2百萬筆個資已經被打包,試圖透過另一台伺服器傳遞送出。若非專業鑑識團隊介入,後果將不堪設想。
善用內建管理功能為安全防護奠定基礎
 |
| ▲ 資深技術專家王偉任建議,對於欠缺預算的企業而言,其實也可以運用既有機制,例如Server 2016作業系統內建的Shielded VM、Credential Guard來建立防護措施。 |
其實資安本質為風險管理的一環,知名資安專家黃建笙(方丈)指出,核心觀念是將損失控制在業主可接受的程度。例如微軟的MS17-010修補程式已發布許久,近期發生事故的單位卻未安裝更新,可能是資安長認為,生產線環境並未採用SMB協定,因此選擇容許該風險存在。無奈供應商的隨身碟中居然潛藏WannyCry變種蠕蟲,一旦遭受感染立即產生連鎖效應。
就算是預算再高的大型企業,即便建置多款最先進的資安技術方案,也可能淪為從最弱點被突破的「馬其諾防線」,只要失掉一分,則滿盤皆輸。資深技術專家王偉任指出,對於欠缺預算的企業而言,其實也可以運用現有機制,例如Microsoft Server 2016作業系統內建的Shielded VM、Credential Guard功能來建立防護措施。
現代企業IT環境多數已建置虛擬伺服器環境,Hypervisor若遭受惡意程式滲透成功,即可Dump虛擬主機檔案,包含記憶體內的執行程序,進而從中取得機敏資料。Shielded VM提供的加固保護功能,金鑰存放在虛擬硬碟(VHDX),就算是Hypervisor的管理者,也無法任意掛載虛擬主機檔案。
「Shielded VM提供兩種實作模式,Admin-trusted是採用憑證,較推薦以TPM-trusted搭配可支援的伺服器來建置,讓PowerShell無法運行在Hypervisor層,以免被利用來執行攻擊指令。」王偉任說。
 |
| ▲本次由《網管人》雜誌舉辦的「2018企業資安實務策略論壇」,主要是以情資力、聯防力、主動力為主軸,邀集領域專家共同探討實際可行的反制之道。 |
 |
| ▲近年來重大資安事故頻傳,即使是全台控管最嚴格的大型企業也遭殃,從2018企業資安實務策略論壇現場報到熱絡的場景不難發現,IT人員正面臨不小的壓力。 |
虛擬主機受到Shielded VM保護之後,無法執行指令模式,唯一方法是透過遠端桌面登入,此時Credential Guard可建立基本的帳密保護措施,避免成功登入之後,存放在伺服器的記憶體之中的帳密遭Dump竊取,藉此橫向移動存取內部關鍵任務系統。