云端网安论坛台中场 传达最实用的防御术

勤业众信风险谘询服务经理刘耀元。

回顾2016年至今，网安事件屡见不鲜，持续在全球各地上演。若要在众多事件中，挑选出让国人有感的，则包括有发生在2016年7月一银ATM盗领案、2017年3月13家券商遭DDoS攻击勒索案，及5月闹得沸沸扬扬的WannaCry勒索蠕虫事件。

事实上，撇开前述几起有感事件不谈，放眼国际，不乏更具杀伤力的威胁；就以被称为「史诗级僵屍网络」的Mirai Botnet为例，即曾在2016年第4季掀起满城风雨，接连攻陷法国网站代管商OVH、美国DNS服务商Dyn，不仅缔造史上首见Tbps等级攻击流量，亦因主要组成分子为IoT装置，堪称「万物联网、万物皆可骇」的最佳写照。

综上所述，时值各行各业奋力推动数码转型的今时今日，许多甚难防御的新式网安风险，正环伺在你我的周遭，企业一个不留神，就可能让原本大有可为的商业创意，毁于黑客之手。

有监于此，DIGITIMES日前在举办2017云端网安论坛台中场，并以「技术、流程、策略：建构您的网安力」为活动主轴，期盼借重产学研各界专家的专业知识与经验，协助企业建立有效的威胁防护之道，守护得来不易的商业创新成果。

整合威胁情资  建立事件应变机制

勤业众信联合会计师事务所风险谘询服务经理刘耀元认为，网安攻防是一场不对称的竞争，单一企业难以对抗有组织／专业分工的黑客集团。以2017年3月经维基解密揭露的CIA 「Vault 7」档案为例，个中含括大量攻击与监控计划，相关漏洞信息武器将令多数企业无法招架。

刘耀元强调，进入数码创新时代，网安管理成为安全体系的对抗，唯有速度才是决胜关键，故企业务必做好三件事，一是「管理与技术纵深防御」，强化固有风险管理与控制成熟度；二是「技术检测与威胁分析」，提高体系弱点评估与威胁情资分析的能力及速度；三是「攻防演练与事件应变」，提升网安事件应变能量。

意欲落实上述目标，企业须练好几项基本功，首先即是强化威胁情资管理作业，建立CTI(Cyber Threat Intelligence)中心，善加管控威胁情资生命周期(依序涵盖情资的来源、收集、处理、分析及订阅)，并将威胁情资淬炼为战略策略。

其次建立网安应变组织及程序，企业可参照ENISA或NIST等组织提供的国际最佳实务标准，设计网安事件应变(IR)措施，并针对高风险业务活动，考量外部威胁情资，设计与实施攻防演练。

DLP/DRM合一  巧妙解决数据窃失难题

精品科技网安顾问暨信息安全部经理陈伯榆指出，回顾2017上半年网安风险，总结有「恶意软件＋漏洞武器」、「数据窃取外泄持续加剧」、「芯片／AP漏洞／类USB窃取」及「电脑装置窃失」等四大型态，这些威胁皆与数据盗窃相关。

由此可见，企业与政府必须重视数据窃失问题，尽快寻求有效对策，以避免伤害持续扩大。但被视为有助于保全机敏数据的数码版权管理(DRM)，以往因加解密程序繁杂，导致生涩难用，为此精品科技透过SVS文件加密技术的推出，巧妙地让资产管理、DLP、DRM合而为一，使企业得以借助X-FORT单一代理程序无痛发挥数据保护功效。

至于杀伤力不断攀升的勒索软件，陈伯榆建议企业善用X-FORT档案安全区、意即「安全屋」机制，借此储存重要档案，因为仅特定软件才能读写安全区档案，故可严防档案安全，即使电脑不幸感染勒索病毒，用户仍可取出安全区的档案，并无数据遗失疑虑。

另论及电脑窃失外泄问题，可从硬盘防护角度建立最佳防线，不论透过USB key及TPM之整合应用，或运用BitLocker模式，都能让企业组织有效防止机密外泄，并在最小变动下维持使用习惯。

新时代端点防护  抵御网络恶意软件

翔伟网安科技资深技术经理许鸿源说，细数近年知名威胁程序，大致包括CryptoLocker、Locky与WannaCry三支勒索病毒(或蠕虫)，及Mirai恶意软件。以让人闻之色变的勒索病毒而论，预期1、2年内达到高峰，此后才会趋于缓和，但肆虐期间仍将一直变种，用户须提高警觉。

前述勒索病毒及恶意程序，加上低调的APT攻击，使当今网络恶意活动益发猖獗，导致防毒软件疲态尽露，也让人人皆沦为黑客觊觎目标。许鸿源指出，黑客攻击可怕之处，在于擅于利用鱼叉式网络钓鱼(Spear Phishing)、云端跳跃移动(Operation Cloud Hopper)或变脸诈骗攻击(Business Email Compromise；BEC)等千变万化手法，令人防不胜防。

尽管企业勤于部署安全防护技术，但高达95%企业曾遭受攻击，显示网安防御出现大漏洞；唯今之计，须加强端点管理，跳脱传统黑名单防御模式。

为此F-Secure藉由九头蛇(手动扫描)、水瓶座(F-Secure与BitDefender技术融合的及时描扫引擎)、双子座(HIPS主机入侵防御系统)、闇夜极光(深层Rootkits防御)、信誉评等(实时在线防毒云端数据库)，及深蓝技术(未知新型病毒行为模式侦测)等多重引擎交互运作机制，提高已知或未知威胁的侦测率，大幅增进端点安全防御力。

凭藉五招式  强化网络丛林的求生实力

中华电信数据通信分公司资深网安产品技术经理邱品仁说，综观近年重大网安事件，可归纳为DDoS攻击、入侵与操控IoT装置、勒索软件及APT等四大威胁。网安风险等于内外威胁、自身弱点、影响冲击三者相乘结果，企业须先厘清自身可能遭受的潜在风险，藉由适当的网安投入，将风险限缩在可控范围，切忌病急乱投医。

企业在网络丛林的求生指南，不外乎识别、保护、侦测、应变与复原等五大招式。欲做好「识别」，须透过资产盘点与风险评估程序，随时掌握弱点与威胁情资，达到知己知彼、百战百胜。针对「保护」，应以实体封闭隔离，做好关键资源区、进出管制区、办公室网络区之间的出入口防护，彻底落实存取管控，并搭配严谨的数据生命周期与权限控管。

有关「侦测」，应建立持续的网安监控机制，以侦测恶意程序及未经授权的存取行为，且定期执行弱扫与渗透测试。「应变」方面，透过事前准备，依序建立事件判读分析、威胁风险控制、威胁风险清除、事件复原及Lesson Learned等必要机制。在最终式「复原」部份，则需建立灾难复原机制，更应定期检视备援机制的有效性。

投资人才与教育  善用高科技执行防护

台湾威瑞特系统科技(Verint)总经理吴明蔚表示，当万物皆与网络连结，必定显露脆弱之处，因此展望未来世界，网安问题势将持续存在。而台湾尽管幅员不大，但网安高风险族群层面却很广，遭受严峻的APT威胁，更应痛定思痛找出因应对策。

吴明蔚认为，全世界在网安防护均面临教育、人才、策略等三大挑战。忽略教育，就无法将黑客旧闻变成防御新知；忽略人才，即不懂得运用高科技进行防护，也无助企业制定有效策略，买一堆设备徒然消耗电力。

2016年恶意程序逾6亿支，推论今后只会愈来愈多，强取豪夺更猖獗，而防御成本持续远高于攻击成本，就算企业建立密不透风的防护体系，坏人仍有三个必杀招式(没有奇怪连线、恶意程序及非法用户)，仍可长驱直入，更何况还有零日漏洞的超强武器，故企业真的要有被入侵的准备。

意欲抵抗凶险威胁，企业用对方法比买产品更重要，须讲求「5个纵深」原则，建立事前识别＋防护、事中侦测＋应变、事后复原等完善机制，以期透过多元侦测、具体佐证、全面调查与有效应变，加快从发现威胁到处理威胁的时效。

守护「信息源」  遏阻机密外泄

群环科技业务专案经理黄永定说，2017年5月中旬，WannaCry勒索蠕虫袭击全球150国，台湾名列第三重灾区，故企业非常关心因应之道，「安全备份」即是必要的基础建设；可惜传统备份方式存在诸多罩门，无法在感染勒索软件的危急之际产生效用，为此该公司提供EMC Data Domain暨DPS整体备份方案，即使数据来源端遭勒索绑架，亦不致危及存放于Data Domain后台的备份数据。

此外上述方式系从Source端进行Dedup，可大幅提升备份速度，企业天天可做全备份，没有相依性，且有验证机制可供确保数据还原完整性，足以有效提升还原效率。

除了打好备份基础，黄永定强调，企业欲解决数据外泄，必须三管齐下从「信息源」着手补强。首先借助D-Security方案，于档案生成便自动加密，守护企业的机敏档案文件；其次透过dbAegis数据库安全稽核系统，实时监控数据库所有存取行为，连带提供自动异常侦测，发送告警通知。

最后则锁定黑客入侵的首要目标－「窃取特权帐号」，建构对应防范机制，一方面利用osAegis禁止任何人直接接获数据库，并留存所有轨迹纪录，二方面借助dbAegis记录Web使用者与DB特权使用者SQL执行纪录。

内外攻防得宜  方能安心上云

台湾二版(ESET亚太区总代理)高级产品经理卢惠光分析，企业上云面临的威胁有二，一是内忧，包括员工蓄意取走公司数据、误传数据或遗失可携式装置，二是外患，包括感染勒索软件、APT，或云端系统被入侵；近期引发轩然大波的WannaCry，便算是严重的外患之一。

不少人曾问，ESET能否防范WannaCry？卢惠光给予肯定答覆，透过ESET网络攻击防护功能，即使微软尚未发布更新，亦可主动阻止蠕虫传播，另搭配ESET云端防护系统，毋需更新便能阻止WannaCry。ESET「勒索防护盾」拥有独特的多重防护核心，搭配LiveGrid云端技术，可在网际狙杀链的各阶段主动反击，阻挡恶软件攻击。

企业上云的威胁，绝对不仅勒索软件，台湾二版亦针对其余祸患，为企业提供安内攘外方案。譬如藉由ESET进阶存储器防护、LiveGrid及漏洞防护等技术，防御APT攻击；利用ESET Secure Authentication双重认证安全，防止云端系统被入侵；透过DESlock+数据加密方案，执行完整硬盘加密、档案或数据夹加密、U盘加密、电子邮件加密，纵使员工不慎丢失装置或外泄邮件帐密、仍可保障数据安全；另提供Safetica DLP方案，降低人为因素(员工有意或无意外传数据)造成的伤害。

防御新思维：降低黑客潜伏时间

黑客年会创始人徐千洋表示，近年许多大型网站服务出现数据外泄事故，甚至自认为安全无懈可击、以悬赏方式召集黑客入侵的PornHub(全球最大色情网站)，最终都遭到攻陷，显见现今攻击威胁已达无孔不入之境地，企业如何是好？

徐千洋建议，企业在资源有限的情况下，不妨先锁定最核心的业务，接着把防护建立在最需保护的环节，全力降低黑客的潜伏时间，及早发现敌人行踪、及早加以处理，才是网安王道；至于如何阻止黑客进入，在资源紧俏状态下，反倒未必是最重要的。

至于如何降低黑客潜伏时间？主要有三个面向，包括了系统整合，藉由Log整合或API串联等方式，让各家网安设备能够协同作战；其次是机器学习，找出既定Rule或Pattern所无法涵盖的异常徵万亿；再者是可视性，力求全盘掌握所有网络进出、数据流动状态。

在此同时，可结合漏洞揭露、威胁情报及顾问谘询等三道助力，让上述三件事做得更到位。企业切记「网安等于成本」，不是额外花费，假使仅为了节省成本而致天平失衡，便意谓风险提高，不可不慎。