中文繁體版   English   星期二 ,11月 21日, 2017 (台北)
登入  申请试用  MY DIGITIMES228
 
Reserch
EVENT

善用技术工具并采取对策 因应内外部资安威胁

  • 洪千惠

企业员工窃取个资、研发机密的事件频传,为有效防制内部威胁,资安厂商纷纷从不同角度出发,提出对应的监控分析方案,「用户与实体行为分析」(UEBA)即是其中一例。Micro Focus

DIGITIMES企划

回顾2017年初至今,在上半年期间,发生了几起备受瞩目的资安事件,包括2月期间爆发史上头一次证券商集体遭DDoS攻击勒索,紧接著在3月初,多所学校的网络打印机收到恐吓信件,黑客扬言若不支付3个比特币,便将发动攻击以瘫痪校园网络,也算是第一次有学校集体遭到攻击勒索。

到了5月份,再度出现一个「史上第一」的攻击事件,即是爆发全球大规模感染的WannaCry,它是史上第一只勒索蠕虫,当然台湾也无法置身事外。

短短不到4个月的时间,台湾接连面临了数起前所未见的资安威胁,幸运的是,尽管一开始雷声大得吓人,但最终的雨点却不算大,也就是实际的灾损,比预期轻微不少,尤其是学校遭攻击勒索事件,甚至仅是虚惊一场,成为IT与资安业界聊备一格的话题而已。而这些波折,反倒激起了若干正能量,比方说人们开始重视多层式DDoS防御机制,也开始勤于思考如何建立勒索病毒的防护对策,针对员工教育训练、系统漏洞修补、机敏资料存取控制乃至资料备份等诸多面向,陆续展开实际作为。

历经WannaCry,企业更懂得防制勒索攻击

综观前述的因应措施,对于防制勒索病毒与保护关键数码资产,其实都蕴含深层的意义。以员工教育训练而论,旨在促使员工一方面知道勒索病毒的风险、感染途径,二方面当察觉可疑活动时,亦应立即采取必要的适当行动;至于漏洞修补,则务求在任何安全修补程序发布之后,就在最短的时间内予以部署,把黑客利用漏洞发动入侵攻击的机率降至最低。

接下来,透过对于机敏资料的限制存取,堪称一石二鸟的必备妙招,既能防止内部不肖员工轻易带走公司机密文件,二来即使黑客有意控制内部员工为肉鸡,继而步步进逼机敏资料的所在之处,进行的难度也将大幅提高。

至于备份,尽管偏向消极做法,但毕竟资安防护并无一定100%奏效之理,凡事都得做最坏的打算,所以仍有绝对的必要;对此有业者提出建议,企业宜遵行严密的3-2-1原则备份排程,透过至少两种不同格式,保存三份机密资料的副本,且其中一份副本,务必要放在公司内部网络以外的异地,如此一来,就算真的不幸遭到勒索病毒感染,也至少会有一个备份被保留下来,可藉此延续公司的营运命脉,不至于完全断了香火。

如果2017年的资安风波,仅止于前述几次事件,那么基本上还算是安全下庄。但到了后面这几月,其实又发生了数起与资安相关的新闻,尽管看起来未必像DDoS攻击勒索、WannaCry如此沸沸扬扬,但背后值得留意与反思的地方,其实也不算少。

首先可能肇因于上线时程日益逼近,再加上罚则吃重(取决「2,000万欧元」或「全球获利4%」较高的一方),业界对于欧盟个人资料保护规则(GDPR)的关注程度,明显较往常提高不少,毕竟外国公司搜集欧盟公民资料,也在GDPR规范之列。影响所及,包括资料外泄防护(DLP)、资料库活动监控(DAM)等解决方案,询问度都比上半年或去年来得高,甚至思考运用机器学习算法来协助遵循GDPR,总而言之,沈寂许多的个资保护议题,如今已再度活络。

其次也是与个资相关的事件。某旅行社不仅外泄旅客个资,后续还引发电话诈骗纷扰,身为主管机关的观光局,也立即要求业者应尽速建立资安防御机制;尽管事发后,不少人推测是该旅行社的资料库遭黑客入侵,但资安业者认为,也有可能是内鬼所为,或者是有合法帐号遭窃、沦为黑客跳板,在此情况下,所谓的资安防御机制,防护范围应该涵盖黑客入侵、内贼及人为疏失等不同情境,不宜仅朝向黑客攻击防护而倾斜。

内部威胁升高,行为监控成显学

无论旅行社个资外泄事件的真正元凶为何,但至少,内贼是一个可能方向,若是如此,便与另一则新闻讯息有所关联,只是泄密标的物从个资变成了研发机密文件。

某DRAM公司发现有员工被大陆竞争同业挖角,而这些人涉嫌违反公司信息安全、员工保密协定等规定,透过以手机拍摄、纸本打印等方法,取走包括无尘室维护运行等机密等级以上的重要营业秘密,且输送给对岸竞争同业;该公司向地检署提出检举,几经多时调查,近期全案侦结,相关员工均依违反营业秘密法遭到起诉。

事实上,台湾员工在对岸企业的招手下,开始利用各种方式规避公司防御体系,成功窃取机密并带枪投靠的例子,可谓屡见不鲜,无论过去、现在的相关案例都很多,展望未来,诸如此类事件也不会绝迹,使得部份资安业者不免为之忧心,直指企业内部威胁犹如热带气旋,恐持续壮大,甚至伤及台湾产业根基,后续效应不容小觑。

因应内部威胁一触即发,其实已有不少资安厂商针对这个主题,提出不同的防制方案,综观这些方案的内涵,说穿了其实就是持续监控加上完整的轨迹记录。

有业者认为,不管是个资抑或研发资料、智能财产,都足以动摇公司营运基石,由于事关重大,当然必须尽全力加以防范;既然这些珍贵的资产都是资料,那么就应该从资料监控分析的角度着手防御,相关保护机制含括基础的资料库监控,再进一步扩展到应用程序、档案系统及云端环境的整体防护,如此才能迅速把发生于不同节点的事件串联起来,针对可疑的迹象,确切识别是否真的是内部威胁,有效防护企业机敏资料。总之,过往纯粹由防火墙或防毒软件个别组成的孤岛式安全机制,已不符现今所需,且对于内部威胁的反制力道明显疲弱。

另有业者提倡「用户与实体行为分析」(User and Entity Behavior Analytics;UEBA)。所谓UEBA概念,系由研究机构Gartner于2015年9月所提出,算是一种针对内部使用者存取行为的进阶资安分析机制;从字面上看,即不难看出UEBA与早期的UBA(User Behavior Analytics)略有不同,差别就在Entity(实体),也就是UEBA强调的是使用者与其接触的实体之间的关联性,藉此掌握威胁脉络,帮助企业清楚看见风险之所在,并适时展开应变处理。

举例来说,透过UEBA所勾勒的员工与实体行为轨迹记录中,发现某天有几名员工,在凌晨试图透过公司计算机连结内部系统,搭配其它佐证数据,发现其中仅一名同仁因为筹备隔日的大型活动,选择留在办公室挑灯夜战,确实属于合法存取行为,但其余数人根本不在办公室,此行为便显得相当突兀,足见背后大有玄机,值得管理者深入探究,看看到底是员工因应在家加班所需,不得已利用翻墙软件操作内部计算机,抑或遭到黑客入侵。

此外近期闹得满城风雨的远东银行遭骇事件,已有不少资安专家赶忙分析个中症结,但其中最值得商榷之处,仍在于内部个人计算机与国际汇款系统SWIFT主机之间,并未完全做到实体隔离,以致黑客可藉由个人计算机为跳板、辗转入侵SWIFT,最终成功盗走6,000万美元。此一事件凸显不少企业的资安防护基本功,至今依然不够到位,展望未来更顽强的威胁风暴恐一波波来袭,在此之前,唯有赶紧亡羊补牢,把资安马步紮得稳一些,才是上策。