全新网安思维 快速打击复杂威胁
面对愈来愈频繁的网络攻击,原本就擅长网络流量分析的Arbor Networks,决定推出Spectrum平台,跟企业分享过去只跟学术机构交流的网安情资。Arbor Networks技术顾问林子杰指出,根据世界经济论坛(World Economic Forum)的统计,全球网络犯罪共已造成2,880亿美元的损失,大规模数据外泄世界更已是常态,企业必须要重新思考网安策略,才能将可能遭致的损失降至最低。
林子杰强调,企业必须意识到,想要做到百分之百的网安防护的难度很高,但可以先从降低风险做起。如黑客主要都是利用程序漏洞侵入,所以只是做好内部网络对外的防护是不够的,因为企业会有很多人在外部作业,只要外勤人员的电脑中毒,黑客就有可能会从内部入侵,所以不管是对外及对内的防护,都有加强的必要。
以进阶持续性渗透攻击(Advanced Persistent Threat;APT)为例,目前的侦测方式虽然非常多样,对外可以使用防火墙、沙箱,对内则有可以侧录网安监识分析,但林子杰指出,由于恶意程序与特徵码落差太大,相差甚至可达20倍以上,代表网安设备其实很难防止外部的入侵,需要一个工具来弥补中间的落差。
林子杰主张企业网安思维,应该要化被动与主动,主动去找出网络上目前正在发生什麽状况。因为对黑客而言,只要成功入侵一次,就可以获取巨大利益,因此企业的网安思维,如果仍是以被动防御及回应为主,黑客总是会从各种管道设法侵入,但如果改用主动方式,注意网络上的恶意行为特徵,预先作好防范,就可减少黑客入侵的意愿,进而降低网安风险。
林子杰建议企业在防御APT的配置,应该转变现在主要是以检测(DETECT)为主的做法,而是要加强分析及监识(ANALYZE/PROVE)方面的投资,因为如此才能主动有效很快地知道感染的范围,掌握感染的动作,才能快速打击网安威胁。
因此现在的企业网安做法,一开始应该都会有Log,然后开始作关联性分析。林子杰以Arbor Networks Spectrum平台为例,透过防火墙及安全性信息与事件管理(SIEM)的Log,不只可以看到有哪些重要的主机遭到攻击,还能够判断发生什麽事,才能在必要时能够做进一步的调查。
林子杰指出,Arbor Networks Spectrum平台在收到Log时,可以利用数据库来做比对,因为数据库保存很多「指纹」,可以减少人工比对的负担,可以很快地透过Log查找,掌握发生什麽事情,有哪些足迹?有哪些主机受影响?不仅可以看到内部主机将那些重要数据传到外部,不但可以掌握需要调查的标的物,而且还能知道数据为什麽会开始传输。
如发现数据开始对外传输时,不仅可能发现是之前有一个机器针对主机做了后门程序的植入、植入的管道,还可以知道是哪一个使用者点选哪一个连结,才能更进一步的追查,感染的动作是到此为止?还是有更多的机器被感染?
林子杰强调,要打击网安危胁,一定要做好关联性分析,而不能只是看到有数据正在传输的信息而已,必须要针对感染的过程,做好全面的检视,才能够知道该如何从什麽关键点开始处理。企业网安不能只靠后端防护,而是要建立全新的网安思维,千万不要以为能够阻挡攻击,就代表网安事件结束了,而是要主动查找或吓阻,提早发现威胁,才能快速打击日趋复杂的网安威胁。