打造坚强应变机制 昂然因应云端网安风险 智能应用 影音
MongoDB
ST Microsite

打造坚强应变机制 昂然因应云端网安风险

  • DIGITIMES企划

藉由黑色产业地下市集,黑客可轻易获取零时差漏洞信息、恶意程序码,乃至可用以进行诈骗活动的大量个资,进而为企业带来更具杀伤力的威胁。(来源:Dark Web News)
藉由黑色产业地下市集,黑客可轻易获取零时差漏洞信息、恶意程序码,乃至可用以进行诈骗活动的大量个资,进而为企业带来更具杀伤力的威胁。(来源:Dark Web News)

毋庸置疑,论及云端时代的网安攻防,不仅是一场信息不对称的战争,且攻击者与防御者双方的实力差距,仍在逐步扩大当中;现今的攻击活动,已非源自单一黑客、或一小撮黑客群体的献技心态,而是诉诸专业分工的黑客团队,凭藉背后偌大黑色产业的支撑力道,从而基于牟利动机所发动的组织型攻势。

回顾2016年至今,举凡让人咋舌的第一银行ATM盗领事件、勒索软件肆虐,乃至多家券商集体遭受DDoS攻击勒索,以及令企业主惊恐不已的「变脸诈骗(Business Email Compromise)」或「商业流程入侵(Business Process Compromise)」,皆是肇因于组织型恶意攻击。

这些接踵而至的网安事件,难免会让企业担惊受怕,使得原本躇踌满志的上云计划或其他创新举措,因而陷入谨小慎微、进退维谷的窘境,让数码转型动能趋于衰竭,形成负面循环。

组织型攻击  防御难度高

当然,攻守双方实力的不对称,除了来自于黑客团队的军容愈趋壮盛外,更可怕的因素在于,黑客的攻击技术、威胁手法日新月异,单凭企业现有的防御机制,要想遏阻敌军进犯,难度愈来愈高;此乃由于,黑客团队不仅集结了身怀不同技术的专业好手,且不论对于钻研当前防护机制的罩门,抑或对于诸如大数据分析、机器学习、人工智能等创新技术的追求态度,都比居于防守方的企业机构,更加积极进取。

除此之外,正所谓工欲善其事、必先利其器,即使有些人未必拥有前述高超技能,如果能善用黑色产业的地下市集,借助他人的智能结晶,进而取得攻击程序、范本程序(Exploit Code)、诈骗数据等各式资源,照样能摇身一变,成为带有杀伤力的攻击者。

因此只要有心,人人皆可能沦为黑客,而企业必须提防的,即是来自四面八方极具攻击效率的恶意人士,倘若未能与时俱进提升自身防卫能力,就可能在网安攻防战役中落居劣势。

有业界人士说,时至今日,带有引君入瓮意味的网络钓鱼,已经落伍,取而代之的,已是既细腻又精准的「纳米式攻击」,或是夹带攻击演练行为的「虚拟化渗透」,其间更擅于利用公有云作为攻击跳板,藉以掩藏恶意身份、让企业无从追踪中继站IP;在此前提下,如果企业不能体察时势,仍仅针对譬如网络钓鱼等旧的攻击手段布建防御工事,可想而知,便很容易让黑客长驱直入。

仅倚靠预防  恐难避免灾厄

网安形势看来愈来愈险峻,企业如何是好?首先,企业不宜继续一厢情愿,认为已经引进足够的网安防御系统,亦已遵遁ISO 27001标准,就认定自己会一直相安无事,而必须假设自己必然遭受恶意入侵、甚至不排除已经被入侵得逞。

只因为如前所述,具有组织且专业分工的黑客集团,会不断研发与嚐试成效更佳的攻击手法,所以今天看似完备的「事前」防护体系,明天很有可能出现破口,仅凭这般机制来扞卫珍贵的数码资产,肯定有所不足。

知名研究机构Gartner在2014年提出「预防无用论」,也不偏不倚地呼应前述论点;该机构认为,企业绝对无法成功阻止针对性攻击的入侵,强烈建议企业应永远假设自身正受攻击,所以整体性的持续防御流程,会比预防黑客的攻击更为重要。

换言之,企业在建构事前安全防护系统之余,也应该针对过往明显不足的「事中」应变、「事后」复原等相关机制加以补强,否则就算拼尽全力布建最强大的防火墙、防毒软件、入侵防御系统(IPS)、网页应用防火墙(WAF)、Anti-APT、Anti-DDoS等防护工具,依然难以安枕无忧。

至于企业要如何在既有网安防御能力之外,打造有效的事中应变、事后复原乃至于监识等架构,首要之务便是整合内外部威胁情资。也许有人认为,其实企业已经在运用威胁情资,主要来源即是网安厂商,由这些厂商主动追踪与调查网安事件,继而根据事件的来龙去脉,包括相关系统弱点的修补,产生对应的解决之道,让用户套用于网络或网安系统之上;但殊不知网安威胁型态多元,且攻击者来自全球四面八方,仅凭单一或少数业者的力量,并不太容易全盘掌握。

善用威胁情资  淬炼网安体质

专家建议,除了收纳带有商用授权性质的网安威胁情资外,其余包含源自公开信息的Blacked IP/Domain/URL、tor Hash或IOC(Indicator of Compromise)等情报,透过社群媒体(譬如Twitter及脸书)、弱点数据库、网安专家博客及相关网安新闻网站整理分析网安趋势,乃至于针对暗网论坛(Dark Web)进行监控、据以掌握最新威胁,都是不可或缺的情资来源。

前述种种,清一色为外部情资,然而对于有心做好网安的企业来说,亦应重视内部情资,比方说可借助安全事件管理系统(SIEM),针对内部遭遇的威胁情况进行整理、分析与研究,理解各个面向的业务流程风险,借此产出有用的情资。更重要的,企业应力求有效整合内外部各类情资,作为制定或调整网安决策的依据。

倘若企业有能力掌握第一手情资,不仅能强化抵挡恶意入侵的实力,更可透过对于攻击手法与来源的理解,将相关信息汇入旗下各式网安系统,以达到纵深联防功效,另外再搭配建立网安应变流程与组织,如此一来,即可循序补强事中应变、事后复原等过往多所不足的机制。

值得一提的,在企业持续掌握最新威胁情资之余,也有必要针对带有较高风险的业务活动,设计与实施攻防演练,且该演练应侧重于兵棋推演、绝非纸上谈兵,意在模拟入侵的战略思维,所以除了需要在演练过程中配置Red Team(攻击员)、Blue Team(回应员)、White Team(引导员)、Grey Team(观察员)等不同角色。

总括而论,企业可按下列步骤实施攻防演练:(一)确认演练目标;(二)设计演练情境;(三)协调人员、资源与行程;(四)发展演练计划与检核表;(五)准备相关工具与环境;(六)动员Red Team、Blue Team、White Team、Grey Team等不同角色执行攻防演练;(七)产生计分机制及报告内容。

经由上述各项举措的淬炼,企业不仅能了解敌人,也更清楚自己的弱点,从而对症下药调理网安防御体质,有效因应数码科技带来的网安风险,在此前提下,即可昂然迈向云端,不会因为惧怕恶意入侵、担心机密外泄,延宕数码转型的步伐。