全新网安思维 快速打击复杂威胁

2016/11/14 - DIGITIMES企划

面对愈来愈频繁的网络攻击，原本就擅长网络流量分析的Arbor Networks，决定推出Spectrum平台，跟企业分享过去只跟学术机构交流的网安情资。Arbor Networks技术顾问林子杰指出，根据世界经济论坛(World Economic Forum)的统计，全球网络犯罪共已造成2,880亿美元的损失，大规模数据外泄世界更已是常态，企业必须要重新思考网安策略，才能将可能遭致的损失降至最低。

林子杰强调，企业必须意识到，想要做到百分之百的网安防护的难度很高，但可以先从降低风险做起。如黑客主要都是利用程序漏洞侵入，所以只是做好内部网络对外的防护是不够的，因为企业会有很多人在外部作业，只要外勤人员的电脑中毒，黑客就有可能会从内部入侵，所以不管是对外及对内的防护，都有加强的必要。

以进阶持续性渗透攻击(Advanced Persistent Threat；APT)为例，目前的侦测方式虽然非常多样，对外可以使用防火墙、沙箱，对内则有可以侧录网安监识分析，但林子杰指出，由于恶意程序与特徵码落差太大，相差甚至可达20倍以上，代表网安设备其实很难防止外部的入侵，需要一个工具来弥补中间的落差。

林子杰主张企业网安思维，应该要化被动与主动，主动去找出网络上目前正在发生什麽状况。因为对黑客而言，只要成功入侵一次，就可以获取巨大利益，因此企业的网安思维，如果仍是以被动防御及回应为主，黑客总是会从各种管道设法侵入，但如果改用主动方式，注意网络上的恶意行为特徵，预先作好防范，就可减少黑客入侵的意愿，进而降低网安风险。

林子杰建议企业在防御APT的配置，应该转变现在主要是以检测(DETECT)为主的做法，而是要加强分析及监识(ANALYZE/PROVE)方面的投资，因为如此才能主动有效很快地知道感染的范围，掌握感染的动作，才能快速打击网安威胁。

因此现在的企业网安做法，一开始应该都会有Log，然后开始作关联性分析。林子杰以Arbor Networks Spectrum平台为例，透过防火墙及安全性信息与事件管理(SIEM)的Log，不只可以看到有哪些重要的主机遭到攻击，还能够判断发生什麽事，才能在必要时能够做进一步的调查。

林子杰指出，Arbor Networks Spectrum平台在收到Log时，可以利用数据库来做比对，因为数据库保存很多「指纹」，可以减少人工比对的负担，可以很快地透过Log查找，掌握发生什麽事情，有哪些足迹？有哪些主机受影响？不仅可以看到内部主机将那些重要数据传到外部，不但可以掌握需要调查的标的物，而且还能知道数据为什麽会开始传输。

如发现数据开始对外传输时，不仅可能发现是之前有一个机器针对主机做了后门程序的植入、植入的管道，还可以知道是哪一个使用者点选哪一个连结，才能更进一步的追查，感染的动作是到此为止？还是有更多的机器被感染？

林子杰强调，要打击网安危胁，一定要做好关联性分析，而不能只是看到有数据正在传输的信息而已，必须要针对感染的过程，做好全面的检视，才能够知道该如何从什麽关键点开始处理。企业网安不能只靠后端防护，而是要建立全新的网安思维，千万不要以为能够阻挡攻击，就代表网安事件结束了，而是要主动查找或吓阻，提早发现威胁，才能快速打击日趋复杂的网安威胁。


图说：Arbor Networks技术顾问林子杰。