2019年新世代企業安全防護之道

文/張凱棊  捷睿智能產品經理

隨著科技進步便利你我生活同時網路威脅(Cyber Threat)也隨之而來。近年來可從報章雜誌、網路媒體介紹國內外知名駭客入侵事件。常見的駭客攻擊不外乎勒索軟體與物聯網和工業控制威脅2大類。勒索軟體,由於加密貨幣興起,有不少駭客也看準比特幣的匿名性等特性,開始利用比特幣從事犯罪交易。2013年9月,加密勒索軟體CryptoLocker使用2048位元的RSA加密金鑰,並將其回傳至主控病毒行動的伺服器。CryptoLocker威脅受害者,若不以比特幣(Bitcoin)或付費卡在三天內繳款,就會將所有加密檔案刪除。2016年3月出現第一個在OS X作業系統上運作的勒索軟體KeRanger。該病毒加密受害者的個人檔案,並且要求1 BTC的贖金以解密檔案。2016年4月病毒Manamecrypt 宣稱加密受害者檔案,並且要求1/3 BTC來解密檔案。 2017年5月WannaCrypt利用Windows系統漏洞進行入侵感染全球超過230,000台電腦,此病毒要求支付價值等同於300美元的比特幣才可解密所有遭加密檔案。2017年10,發現新型勒索軟體「Bad Rabbit」,Bad Rabbit加密了用戶的檔案表後要求支付比特幣解鎖。

物聯網和工業控制安全,由於物聯網和工業控制系統往往礙於管理方便因此常成為駭客由外網入侵內網之破口。2015年烏克蘭電廠停電事件,烏克蘭電力網路受到駭客攻擊,導致伊萬諾-弗蘭科夫斯克州數十萬戶大停電1個月後,安全專家表示,證實這起停電是遭到駭客以惡意軟體攻擊電網所造成。2017年曾有駭客曾針對施耐德電機(Schneider Electric)的Triconex製程安全系統(Safety Instrumented Systems, SIS),造成中東的一家石油工廠因系統保護機制被觸發,致使生產流程中斷等。根據上述威脅,初步可將企業安全防護區分為2大部分。分別是:外網防禦與內網偵查。

  1. 外網防禦,係指使用網路防於設備,將網路威脅阻擋於外部,藉此降低網路威脅進到企業內網之風險。下列將針對傳統與新世代防禦技術進行比較。
    • 傳統外網防禦技術使用防火牆 (Fire Wall)、Web應用防火牆 (Web Application Firewall , WAF) 阻隔網路威脅。同時可搭配滲透測試(Penetration Test)提升WAF防禦能力,透過開源威脅情資 (Open Source Intelligence, OSINT)提升防火牆防禦範圍。
    • 新世代外網防禦技術,大多多建構於傳統防禦技術之上。但是強調下列兩項技術,如: 自我防禦技術、加密DNS防禦技術之上。
      • 自我防禦技術,係指透過布建於外部之網路威脅誘捕系統,將情資快速反饋於系統之中,屆時便可直接阻擋已有攻擊事實之IP位置。達到自我防禦之效
      • 加密DNS防禦,由於DNS加密技術日禦廣泛。傳統使用DNS作為感染指標(Indicator of Compromise, IoC) 與攻擊指標(Indicator of Attack , IoA) 將無法正常運作,因此需使用域名追蹤技術產生大量IP,透過IP比對技術進行防禦
  2. 內網偵查,係指於企業內部偵查網路威脅。由於多數的防毒軟體多使用特徵比對(Signature Matching)作為核心偵測方式,也因此當駭客自製特殊惡意程式亦或是惡意程式尚未廣泛流行前多數防毒軟體沒有掌握足夠特徵,於此階段其不具備偵測之功能。也因此建議使用下列2種方式進行提升,亦將針對傳統與新世代防禦技術進行比較。
    • 布建蜜網(Honeynet),企業可透過防毒軟體或端點監控工具掌握主機是否感染惡意程式。然而倘帳號密碼外洩,駭客惡意使用帳號密碼登入進而探測內部網路、連接內部資料庫竊取重要資料時防毒軟體卻無用武之地。 因此需要於企業內部布署蜜網,
      • 傳統蜜網技術,大多使用開源專案MHN進行布署。倘若這類蜜網其系統特徵若未曾被抹除將會變成可利用之跳板。2015年知名黑帽研討會(Black Hat Conference)曾將這些特徵揭露上述資訊。
      • 新世代蜜網技術,可於企業內部模擬多種服務,如: 檔案伺服器、資料庫及網頁伺服器等。亦可模擬常建物聯網裝置網路攝影機(Network Video Recorders)、醫療設施-核磁共振攝影(亦稱磁振造影, Magnetic Resonance Imaging,MRI)。金融服務SWIFT (Society for Worldwide Interbank Financial Transfers)等。同時將抹除蜜罐特徵,透過這種方式資訊人員與資安人員,可用以了解企業內部有多少潛藏威脅。藉此找出潛藏於內部網路的可疑裝置。此舉將有助於提升物聯網和工業控制之安全。同時當勒索軟體於內網散佈時亦有機會能偵測到。
    • 於端點主機上佈署哨兵(Sentinel),若要提升企業內部網路安全防禦可於端點主機上安哨兵進行偵測,倘若發現惡意程式或惡意行為,便可即時告警通知資安人員。
      • 傳統防禦技術,使用大量的感染指標與攻擊指標進行偵測與防禦,然而當防禦特徵位涵蓋攻擊範圍時便會出現遺漏。
      • 新世代防禦技術,除了使用感染指標與攻擊指標之外,亦會剖析記憶體資訊,尋找可疑程式並針對可以程式進行剖析與告警。並可透過Active Directory / LDAP進行大量佈署,因此可大幅減少資安人力浪費,快速掌握感染主機與感染資訊。同時亦能支援Windows / Linux等作業系統使得無論辦公電腦或伺服器都能有效防禦。

一但使用上述網路安全工具與資安防禦機制是否就能使企業內部安全無固若金湯? 其實不然,由於駭客攻擊手法千奇百怪,透過上述工具僅能提升企業內部安全防禦能力。最重要的還是,如何針對員工進行內部資訊安全教育訓練與制定資安政策。透過完整的資訊安全教育訓練、搭配網路安全工具及資安防禦機制便可阻擋駭客一波又一波網路攻擊達到提升企業安全防護之目的。

參考資料

  1. Breaking Honeypots For Fun And Profit
    https://www.darkreading.com/attacks-breaches/breaking-honeypots-for-fun-and-profit/a/d-id/1321568
Scroll to Top