检视网安政策执行成效 持续补强防御脆弱点
在2017年5月,史上第一支勒索蠕虫WannaCry在全球大肆侵袭,导致各国政府机关、公用事业、民间企业等不同领域皆有受灾户,台湾也无法幸免于难,可谓哀鸿遍野,因而引发媒体热烈报导。安华联网科技总经理洪光钧认为,WannaCry的确有破坏性、但绝非天下无敌,尽管如此仍不失为好教材,可帮助企业检视自身的网安防护,还有哪些未尽之处。
他认为,早先被揭露的OpenSSL Heartbleed或Apache Struts2等漏洞,杀伤力都强过WannaCry,只因没有企业会关闭80埠,故对黑客而言,利用Heartbleed或Struts2弱点发动攻击,必然快速而有效,相形之下,WannaCry感染途径为445埠,直接曝露在外网的情况较少。
只不过Heartbleed或Struts2攻击行为意在窃取数据,偏向低调的APT模式,反观WannaCry强行将档案加密,立即造成影响,让终端用户更加有感。
无论如何,企业不幸成为WannaCry受害者,便意谓有些事情没做好,首先是未能确实修补系统漏洞;其次可能任由某些主机曝露于外网,且未妥善设定防火墙存取规则,让原本应限于内部传档的网芳分享,意外曝露在网际网络世界,直接沦为被攻击目标;再者多数企业的网安政策中,通常已纳入实体隔离措施,但可能执行得不够彻底,才让一些重要档案惨遭WannaCry毒手。
更有甚者,企业也大可跳脱WannaCry范畴,将思考点拉升到防御的制高点,一并检视自己针对网安投入的资源是否足够,或是即使已经购置众多防护系统,亦须自问是否配置充裕的人力与技术能量,确实为这些系统做好日常维护与管理工作,使其发挥最大防御功效。
另外也不妨针对网安政策的执行成效,做一次通盘检视,看看有无应做而未做的事项,譬如再经过检讨后,确实彻底补强了实体隔离,则日后遭受类似WannaCry病毒或蠕虫感染的机率,应该就不高。
透过网安情蒐 强化应变能力
「即使该买的都买了、该做的全做了,仍有持续改善的空间,」洪光钧说,持平而论,现阶段企业组织对于威胁情资蒐集,普遍未臻完善,这是今后值得加强的重点,毕竟只要做好网安情蒐,企业可望及时掌握全球网安攻击流行趋势,进而争取更多时间,好整以暇地研拟应变对策。
论及网安情蒐,虽有一定的难度,但进入门槛未必高,最简单的方式,企业可配置一定人力,负责每天阅览网安新闻,从中撷取相关线索,但时效性或许没那麽高;更有效的方式,则是借重如安华联网之类第三方专业厂商的力量,引进自动化情资蒐集与分析系统,并针对一些即将酝酿成形的威胁趋势,委由厂商预先提供处置建议。
延续WannaCry例子,早在事发的一个多月前,安华便对此事高度关注,并协助企业用户尽速修补系统弱点,以致日后能从容应付这股乱流。安华虽以协助联网设备制造商执行产品安全检测而着称,但事实上,另一方面也为企业客户提供网安顾问服务,包括帮助企业定期实施渗透测试、弱点扫描,期盼藉由事前的检查与补强,及早消弭防御架构的脆弱点。
洪光钧强调任何网安产品皆非万能,呼吁企业莫要过度倚重单一解决方案,必须不停思考「万一这关守不住该怎麽办」,进而逐步加深防御关卡,设立E-mail与Web防护、防毒软件、白名单管控机制、网络隔离、权限管制、内网IPS…等等一层层路障,辅以透过教育训练灌输员工安全意识,尽全力让攻击者寸步难行、无机可乘。