時下有些企業,已部署防火牆、防毒、入侵防禦、網頁應用程式防火牆(WAF)、資料庫稽核等眾多防護系統,卻仍舊抵擋不住「進階持續性滲透攻擊(APT)」,讓人不禁感嘆,這些工具看起來很厲害,沒料到竟如此不堪一擊。
事實上,這些工具都深具防護功效,絕非弱不禁風。但不可否認,在面對APT等新型態攻擊時,仍有被攻陷的可能,不免讓企業為之洩氣,真不知道仍需汰換多少系統、添購多少新工具,才能有效攔阻惡意攻擊?以筆者在資安領域多年的經驗看來,只要設法加入一些觸媒,使不同工具之間得以訊息串聯、協調運作,根本無需大費周章更換系統,就足使防禦能量倍增。
究竟該如何落實資安聯防?其實有不少方法。譬如IPS廠商通常有其研究體系,負責蒐集與分析全球惡意網站或IP資訊,藉以更新特徵碼,協助用戶抵擋更多攻擊;假使這些珍貴的分析資源,能夠不設限於IPS系統獨自使用,而可讓其他不同工具共同分享,就連並未採用該廠牌IPS產品的用戶,亦能雨露均霑,如此即可望發揮強大的催化效果。
舉例來說,資安事件管理(SIEM )平台一旦結合IPS實驗室提供的資料,便能擴大關聯分析的視野,察覺一些原本看不到的危機,接著將其掌握到的C&C或SPAM等惡意IP資訊,傳達給防火牆等其他防護工具,將此列入黑名單;此時就算該SIEM用戶尚未架設IPS,也能藉由防火牆過濾規則的適時調整,發揮近乎於入侵防禦的功效。
當然,我們必須承認,現今惡意程式多半行跡飄忽、變化無常,有些攻擊可能在地化,若僅倚靠全球各地誘捕系統(Honeypot)大量蒐集的資訊,未必能除惡務盡;因此一套完善資安聯防體系,除倚靠從外到內的資訊傳遞外,亦需善用內部發掘的蛛絲馬跡,立即由內向外傳遞至IPS實驗室,再經由快速分析產生相對應修補機制,以利用戶緊急填補漏洞,避免遭受零時差攻擊。
另外也有一些資訊串聯的情境是企業可以自行推動的。駭客在發動攻擊時,為穿透防禦機制,多少會觸發各項工具的安全規則,例如內部某台電腦藉由DHCP轉換不同IP,一再試圖對外連線到C&C伺服器,此時可能會在防火牆的TopN拒絕連線清單內留下記錄;若將DHCP Log匯入SIEM加以整合分析,則網管人員無需耗時比對複雜的動態IP,即可迅速揪出跳板電腦,而相同訊息亦會隨即觸發OA Team所屬的管理系統,以利針對該電腦的弱點進行修復,藉由網管、OA兩個Layer的分頭並進,才能使跳板電腦不再淪為駭客禁臠。
總括而論,若能打破訊息溝通的壁壘,形塑協調運作的聯防機制,即可輕易補強資安破口,牢牢守護企業數位資產。
(本文作者現任HP惠普科技北亞區資訊安全事業部技術顧問經理)