资安威胁无止歇 落实防御基本功为上策

  • 魏淑芳
专家预期,近期引发轩然大波的WannaCry,仅是一连串漏洞信息武器的开端,若企业未能把握时机强化内网防御机制,甚至依旧疏于修补系统弱点,日后恐后患无穷。来源:Cybereason

DIGITIMES企划

随著数码转型趋势兴起,环顾各产业,即便以往侧重封闭作业环节的关键基础设施型产业,如今都逐渐拥抱云端、行动化、大数据、社群媒体、物联网、人工智能等数码科技,希冀藉此展开创新升级大业,再创业务高峰。只不过,当企业群起簇拥数码科技应用浪潮的同时,殊不知许多想象不到的资安危机,已默默地环绕在企业的四周。

以近年沸沸扬扬的资安事件而论,便已显露了诸多让人忧心的发展趋向。首先综观几件攸关民生关键基础设施的事故,包括乌克兰电力网络遭骇、孟加拉央行的美国联准会帐户遭骇、一银盗领案,乃至层出不穷的多起医院惨遭加密勒索案例,不禁教人冷汗直流。主要是因为,无论电力产业的发电、输电、变电与配电等系统,金融产业的外汇SWIFT网络系统,银行业的ATM系统,以及医疗院所的HIS(医疗信息系统),就一般人的印象,长期处在极为封闭的架构,按理说不会直接曝露在互联网世界,少有机会被黑客攻破。

殊不知,看似固若金汤的堡垒,却一一沦陷了。究其主因,在于伴随资通讯技术的发展,导致广大消费者的需求与期望,产生极大变化,迫使这些产业必须走出原本封闭运行环境,开始与企业内部网络、互联网相互串联,造成过去的实体封闭特性,已经不复存在,再加上营运单位对于资安防护意识有所轻忽,才让黑客有机可乘。

在此前提下,政府现正拟定、推动的资安管理法,不仅理所当然地将政府机关纳入管制范畴,也一举将管理触角延伸到八大类关键基础设施,举凡能源、水资源、资通讯、交通、金融、紧急救援与医院、中央政府,及高科技园区通通入列;主要考量点,正是担心这些产业领域如果遭受资安攻击,唯恐引发政府、社会、经济甚至民众生活的巨大动荡,因而迫不得已将属于这些领域的私人企业一并纳管。

建立双层式防御  力阻DDoS来袭

至于其它备受关注的资安事故,毋需多说,大家都很清楚,最重要即是两件大事,一是发生在2017年2月的券商集体遭DDoS攻击勒索事件,另一则是在全球引发不小骚动的WannaCry勒索蠕虫。

针对券商遭DDoS攻击勒索,其实还可以往前、往后各自串联类似事件,形成一个宏观的攻击趋势,包括2016年底肇因于Mirai殭尸网络所引发近乎Tb级的惊人DDoS,以及2017年接近3月时,台湾几十家学校的的网络打印机遭到黑客打印恐吓信。

尽管这些与DDoS相关的案例,最终造成的杀伤力有不小的差距,有的导致众多知名网络服务随之停摆,有的只是虚惊一场、并未酿成灾情,但都让人戒慎恐惧,因为至已证明,可能受到DDoS侵袭的苦主,绝不会只局限于在线游戏、赌博网站或电商等有限的企业组织,各行各业、政府机关与学校都可能中招。

特别是今后随著物联网应用风潮崛起,连网装置数量直线攀升,黑客可以掌握的肉鸡数量随之三级跳,所以今后DDoS攻击流量势必更加猛烈,要塞爆企业的连外网络已是轻而易举之事,企业或机构万万不可掉以轻心,唯有及早建立双层式纵深防御架构-ISP Clean Pipe加上CPE防御,犹如借助净水厂加上家用滤水器来滤除污水杂质,由上层ISP流量清洗中心来抵挡L3/4层次的带宽耗尽式DDoS,辅以下层自家CPE对抗L7层次的资源耗尽式DDoS或应用层DDoS,如此才可望趋吉避凶。

分析内部流量  及早遏阻毒害蔓延

当然比起DDoS,企业或个人更加惧怕的莫过于加密勒索病毒,只因一旦重要档案被加密、且平时疏于备份的话,简直就象是世界末日,什么事都做不了。

尤其从这回WannaCry来看,勒索攻击似已迈入全新里程碑,从病毒进阶成为蠕虫,可以藉由远程注入方式,主动把恶意程序送进本地端计算机;这也意谓著,倘若企业的员工个个保持良好习惯,绝不点击有问题的邮件附档或URL连结,再搭配企业对电子邮件、网络浏览等两大管道设立严谨安控机制,看似已相当缜密的作为,今后都未必能挡得下勒索攻击。

历经这起风波,不少人都了解,WannaCry是黑客利用攻击工具「永恒之蓝」(EternalBlue)为基础,经过变种加工所打造出来的产物,而所谓永恒之蓝,源自于「NSA武器库」,也就是美国国家安全局辖下黑客组织开发出来的漏洞信息武器,拜外部黑客团队Shadow Broker所赐,把这些武器偷了出来,并在暗黑网络市集拍卖,才让这些原本属于国安层级的武器,「纡尊降贵」到民间市场,进而引发轩然大波。

令人颇为担忧,被Shadow Broker取得的漏洞信息武器,究竟还有多少尚未投放到市场?若真的还有尔后的第二、三、四、五…一直到N部曲,全球的数码应用环境岂有宁日?

更可怕之处,被外泄的漏洞信息武器,还不只有NSA!今年3月期间,维基解密宣布开始以「Vault 7」为代号,陆续揭露美国中央情报局(CIA)的机密档案,据闻有上千种骇袭系统与技术,包括针对苹果iPhone、微软Windows、Google Android及三星的智能电视等多项平台打造的零日攻击程序码。

专家研判,由于CIA流出的这批漏洞信息武器,发展期间介于2013到2016年期间,以「新鲜」程度来说,绝对胜过NSA武器库,因此包含一些较新的操作系统,乃至于物联网或智能电视等创新装置,皆有可能在影响范围之列,对全球企业、家庭或个人的杀伤力,势必强过类似于「永恒之蓝」的旧型武器,值得严阵以待。

无论如何,不管情势怎么演变,似乎总让人觉得,此刻隐身于地下暗黑市集默默流传的漏洞信息、攻击工具,彷佛都很高明,它们给了黑客团体、甚至黑客产业莫大的养分,只需利用多种Compiler不断繁衍变形体,就能产出一支支足以突穿或绕过企业防御边界的强大恶意程序,这让从事资安管理的工作者不禁气馁,因为不管是现在或未来资安矛与盾之间的攻防战,防守方都明显屈居下风。

但全世界企业的数码转型浪潮,截至目前,尚处于蓄势待发的萌芽阶段,展望未来,必然比现在更加精采可期,谁愈能端出技惊四座的创意巧思,引发消费者广大回响,谁就是市场赢家;面对如此机遇无穷的创新创业竞局,企业岂可因为惧怕黑客、甚至是内贼扯后腿,继而甘愿放弃推动任何创新升级举措?假使消极不作为,势必与市场竞争行列渐行渐远。

因此企业的CIO、乃至决策高层,若不想看到自己的公司,因为害怕资安攻击而放弃创新、错失商机,则此候必须要做的,绝不是向黑客举白旗投降,或对威胁情势视而不见,应化被动为主动,设法建立威胁情资搜集机制,让自己早一步了解世上资安攻击形势,剖析这些攻击从何而来、利用哪里些漏洞下手,再回头检视自己,评估这些威胁是否可能危及自身关键资产,如果是,便赶紧就教于专业资安顾问,及早修补系统弱点、优化调整资安政策,好让自己不会轻易惨遭荼毒。

另外以往企业只想阻绝敌军于大门之外,鲜少思考万一敌人悄然到港,或是敌人根本就是自家不肖员工,该怎么办?亡羊补牢,为时绝对不晚,赶紧强化内网流量侦测、行为分析的能力,力求在异常现象发生的当下,就能有所掌握,如此才是资安王道。

更多关键字报导: 资安 云端资安