【 Netfos 電子報 】

IPaaS 讓入侵在發生損失前被停止

中芯數據『意圖威脅即時鑑識服務』- 台灣資安市場第一家符合Gartner定義的 MDR 服務廠商,協助客戶檢測出繞過傳統安全措施的威脅並快速回應以遏制攻擊

資通安全管理法落實資通安全維護計畫

面對現在越來越多的資訊服務與應用系統,資訊安全不再是虛擬,不可真實感受到的一種虛擬現象。而是真正會干擾、會影響,甚至造成實質的經濟損失。面對這樣的情況,我國的資安法規,也隨著資訊技術應用的發展,開始具備新的規範方向。在今年5月20日,立法院正式通過資通安全管理辦法。開始明確規範,除平常具備的防禦性資安設備的建置,更必須背負通報與處理的責任。這代表我國的所有機關、公司及組織,在面對資安的防護上,不能再像過往,只是透過資安防護設備,做到偵測入侵攻擊。而必須更全面的去考慮,當組織發生資安事件後,需要去通報到主管單位時,該如何因應。再者,談到通報,就不可能僅是說明找到哪些惡意程式或攻擊手法,必然要考慮到分析與評估受影響範圍,以及後續的改善方式。這都會讓資安相關產業,必然要比過往更具資安事件處理的專業能力。同時使用者也必須更仔細的考量在廠商服務能力,除了在偵測已知資安威脅外,如何從偵測、分析,乃至於後續的所以事件處理,都可以一次到位。這就是現今我們一定要考量的資安防護策略。

資安事件層出不窮 您將是資安事件主角

資安廠商一向喜歡討論資安事件的新聞,透過災情嚴重或是大範圍遭駭的資安事件。從2013年的Dark Soul、Target與Sony,乃至於到臺灣發生的第一銀行,遠東銀行,或是2018上半年的司法院資安事件。所有爆發大型資安事件的機關或公司,都不是默默無名者,多的是具備一定程度的資安預算資源。也就是說這些組織應該都具備相當完善的資安防禦架構,但當事情發生時,確認人感受到與預期效益差異太大的失望。資安事件越來越受到大家關注,可以注意到每年發生大規模資安事件,頻率似乎越來越高,受到的損失也越來越嚴重。照道理來說,隨著技術的不斷進步,應該會讓資安事件的發生率逐漸下降,為何事與願違?

“資安防護,不該是種賭運氣的工作,祈禱著攻擊者不會挑選自己的組織當目標。因為越來越多的資安事件似乎不停的再訴說著:你抓不到我。”

現在的資安防護工作,其實面臨著越來越艱難的處境。以2013年的Dark Soul事件為例,發生至今約5年的時間,資安設備不斷推陳出新,但是使用未有大幅改變的手法持續攻擊成功的案例,至今依然層出不窮。這不就正是在告訴所有人,資安防護的觀念應該要盡快更新。否則,使用類似的資安設備,加上類似的防護架構。要期待已發生在別的組織的入侵事件,不要發生在自己的組織中,無異於緣木求魚,不是嗎?

資安設備無法達到100%防禦 MDR服務更顯重要

面對攻擊者在資訊安全上的威脅,我們無一不期待能有個終極解決方案。只要使用這個終極解決方案,就再也不用擔心資安的威脅。這是一個美夢,但是現實是,目前所有的資安設備都做不到100%的偵測率。在這個前提下,當防禦架構是建置層層的資安防護設備,其實就代表資安事件還是可能會發生。偏偏現在主流大部分的防禦架構都是阻擋在網路的出口端,或是部分網路的集中處。當攻擊者成功躲過閘道端的設備,後續要進行處理就變得非常困難。

對比傳統的資安防禦策略或觀念,先從各式自動化偵測入侵風險的設備開始。當建設到一定數量的資安防護設備後,考慮到管理與後續處理的效率,很多組織會開始導入SIME這種類型的方案,透過集中收集每個資安設備的紀錄,再加上SIME本身的關聯分析,以求可以做到集中管理與分析資安風險的目標。我國也有多家資安服務廠商,提供委外使用的SIME服務,就是市場上可以找到的SOC廠商。依據我國的政策管理辦法,在政府與金融有著比較明確的規範,所以SIEM這種解決方案的採用者,主要也出現於政府與金融產業。我國的SOC廠商,皆提供符合政策規範的相關功能,例如:提供一定年限的紀錄保存功能,或是收集資安設備警訊定關聯後,發出對應的資安事件通報。但關於後續協助處理的機制,往往就比較缺乏,大多需要依賴使用者自行處理。我國SOC目前提供的服務在Gartner的定義中,屬於MSS(Managed Security Services)。但在2017年5月,Gartner發布一份新的市場指南,提到更新一代的MDR(Managed Detection and Response),強調持續性的威脅偵測與監控機制,同時提供客戶完善的資安事件處理能力。讓使用者不需要對於排山倒海而來的大量警報疲於奔命。透過MDR服務提供偵測、分析及處理一次到位的服務方案。

為何Gartner要提出新的MDR服務方式,其實就是要改善傳統MSS服務的一些盲點。如前面提到,我國的政府與金融產業,在政策的規範下,多半會使用SOC這種MSS服務。但近年來震驚國人的銀行資安事件,在發生時卻皆由檢調介入處理,更不提為何當初在監控時,對這類的攻擊毫無察覺。並非SOC廠商疏忽,而是因為SIME設備的功能限制。SIEM的設備本身無任何自主偵測能力,需要藉由收集其他資安設備的記錄檔(Log),才能夠進行分析。在這樣的功能設計之下,當攻擊發生時,便會產生2種情況。其一是資安設備可以正確的偵測到攻擊,然後產生警報,同時SIEM設備會收到這個警報,接著SOC就會發出通報給客戶。另外一個狀況,當攻擊發生,資安設備沒有正確偵測到,所以不會產生任何警報,當然SIEM跟SOC自然不會收到任何警報,攻擊者成功滲透到內部環境,然後假以時日,就會擴大成嚴重的資安事件,無一例外。

駭客平均潛伏時間500天 資安防禦概念要轉型

在早期的資安防禦策略中,主要利用縱深防禦。透過層層構築不同防禦機制,以期增加駭客入侵難度,最終逼迫攻擊者放棄繼續入侵的意願。但是近年來APT這樣的風險,已經讓透過增加入侵難度,使得攻擊者放棄攻擊的情況,幾乎不是可行方法。根據趨勢科技過往揭露的臺灣企業平均遭駭客潛伏的時間,已經到達598天,這樣的驚人數據。這個數據代表著是駭客將會不計時間成本,只為成功入侵後取得的驚人利益。背後的意義更代表著,即便駭客已經入侵到組織內部,可以進行各種活動,而組織仍然需要超過500天的時間才能發現。如果經歷一段這麼長的時間,卻沒有任何辦法可以發現攻擊者的足跡,那麼在500多天的時間內,要偷取到組織的機密資料或金錢,是非常有可能辦到的事。

這是現在所有組織面臨到資安最大的問題,攻擊者被實際上的金錢利益吸引,攻擊可能發生在任何組織,只要攻擊者有意願,攻擊隨時可能發生。在遠東銀行的事件上,更是體現一個完整的入侵過程。透過遠銀被公開的惡意程式,可以清楚知道,攻擊者已經竊取網域的管理帳號,取得完整的存取權限。甚至可以在眾多的主機中,找出SWIFT這台主機。在完成轉帳之後,再派送加密軟體至多台主機,可能是想要掩滅證據或是製造混亂。攻擊者如此熟悉整個內部的環境,想必是花上許多時間探勘整個環境。在這個開始入侵到SWIFT轉帳的過程中,只要有任何一個環節被發現異常,就不會導致最糟糕的情況,但是眾多的資安新聞告訴我們的,就是當資安攻擊發生時,察覺到攻擊者的活動是非常困難的。

令人最沮喪的部分則是,幾乎所有人都會選擇在門口(網路出口端)部署層層重兵(各式資安設備)防守,但在沒有100%的偵測率的情況下,必然會有少數攻擊會成功入侵到內部。然後攻擊者平均有500多天的時間,可以在內部網路逛大街。如果還用傳統的防禦策略面對現有的威脅模式,那麼被攻擊成功並發生損失,似乎也是必然的結果。因此,我們必須正視現在的資安威脅,並採取更積極的手段來控制損失。從現在開始的資安防禦概念勢必要轉型,當我們可以認知沒有任何資安設備可以100%偵測到攻擊,那麼被攻擊成功的機率就變成100%。但仔細審視所有資安事件的報告,我們可以發現,攻擊者從發動攻擊,到真正取得不法利益,是需要時間來辦到,而這時間往往從數個月到數年。但是在傳統的防禦機制下,我們全力將防禦機制都放在網路的出入口,卻沒有任何辦法,去處理攻擊者在內部開始的活動。一次潛伏期為一年的攻擊,代表著你在一年時間內,只要發現任何一個蛛絲馬跡,這次的攻擊可能就被消彌。但是每一次的資安事件新聞不停的停醒著我們,面對突破大門以後的入侵過程,我們幾乎毫無招架之力。

為此我們要仔細反思,如何處理當內部可能已經遭到入侵時,我們如何快速的找出可能的潛在後門。

MDR 資安服務更有效防止企業損失

綜觀全部的資安事件,可以發現一個共通點。就是在資安事件發生之後,會有資安事件的處理報告。可能由檢調單位提供,或是組織自行聘用的資安服務團隊。在報告中,所有資安設備無法發現的惡意程式,也會包含整個事件發生的過程、原因與後續改善建議。但事件處理必須等到事情發生之後,就算徹底找出原因,還是造成損失。

原本無法發現的攻擊手法或惡意程式,透過事件處理,可以輕易的被揭露出來。似乎很理想的解決分析未知威脅的問題。但是,傳統的事件處理,有著很大的缺陷,讓傳統事件處理方式。無法成為被廣泛採用的一項服務,最主要的原因就是人力。傳統的事件處理,需要仰賴大量的人力,收集分析用的紀錄,正規化所有的紀錄,最後再判讀整個過程。透過人力處理的方式,導致這項服務費用非常高昂,所以最後往往只能在資安事件發生後,才會使用。但是事後處理,代表損失其實已經造成,若要另外再消耗一筆費用才能查明原因,其實對很多組織來說,都是一筆沉重的負擔。

那麼如果可以擷取人力資安事件處理的優點,例如:可以發現資安設備無法偵測的新型惡意程式,以及分析整個攻擊過程的來龍去脈,加以改良。把收集資料跟分析資料變成是即時的自動化分析。這樣一來,可以想像一個情境,如果攻擊者在初步攻擊過程中,自動化事件處理系統可以隨時監控,即時把相關分析用的資料記錄下來,並自動整理相關紀錄。一旦發現疑似惡意活動,就立刻發出警報,事件處理人員就可以立刻介入分析,發揮人力分析的優勢。這個過程只需要數十分鐘,就可以即刻阻斷後續的攻擊,搶在損失發生前,就完成資安事件的處置。這樣的概念其實就是Gartner為何要提出MDR這樣的市場報告,因為未來一定是需要這樣的資安服務才能更有效的防止損失造成。

中芯數據是國內目前唯一可提供,從偵測、分析、也包含後續處理的MDR廠商。服務內容可以提供在合約期限內不限次數的資安事件處理與報告,更可以協助客戶進行惡意程式分析。包含下面3項主要特色。

  • 端點威脅即時檢測 – 資安攻擊日趨“針對性”及“持續性”,越來越多的攻擊可繞過傳統的資安設備防線,直達端點。
  • 持續性的檢測、監控及分析 – 傳統一次性或定期檢測方式,常出現“時間差”及“漏網之魚”等問題,沒辦法在災損出現或擴大前即時發現或阻斷,更無法針對軌跡進行追蹤與全面阻絕。
  • 資安事件回應及遠端處理 – 資安事件具“時效性”及“迫切性”,需在災損出現或擴大前予以即時處理。服務商需擁有專業技術團隊並輔以遠端處理方式,方可在最短時間完成事件處理並降低災損影響

 

 
 
逸盈科技官網  | 逸盈粉絲團服務信箱取消訂閱
逸盈科技台北總公司 105-67 台北市松山區八德路四段760號7樓  電話:(02)6636-8889 傳真:(02)6638-9998