云端网安论坛台中场 传达最实用的防御术 智能应用 影音
EVmember
ADI

云端网安论坛台中场 传达最实用的防御术

  • 魏淑芳

勤业众信风险谘询服务经理刘耀元。
勤业众信风险谘询服务经理刘耀元。

回顾2016年至今,网安事件屡见不鲜,持续在全球各地上演。若要在众多事件中,挑选出让国人有感的,则包括有发生在2016年7月一银ATM盗领案、2017年3月13家券商遭DDoS攻击勒索案,及5月闹得沸沸扬扬的WannaCry勒索蠕虫事件。

事实上,撇开前述几起有感事件不谈,放眼国际,不乏更具杀伤力的威胁;就以被称为「史诗级僵屍网络」的Mirai Botnet为例,即曾在2016年第4季掀起满城风雨,接连攻陷法国网站代管商OVH、美国DNS服务商Dyn,不仅缔造史上首见Tbps等级攻击流量,亦因主要组成分子为IoT装置,堪称「万物联网、万物皆可骇」的最佳写照。

精品科技网安顾问及信息安全部经理陈伯榆

精品科技网安顾问及信息安全部经理陈伯榆

翔伟网安技术资深经理许鸿源。

翔伟网安技术资深经理许鸿源。

中华电信资深网安产品技术经理邱品仁。

中华电信资深网安产品技术经理邱品仁。

台湾威瑞特系统科技总经理吴明蔚。

台湾威瑞特系统科技总经理吴明蔚。

群环科技业务专案经理黄永定。

群环科技业务专案经理黄永定。

台湾二版高级产品经理卢惠光

台湾二版高级产品经理卢惠光

黑客年会创始人徐千洋。

黑客年会创始人徐千洋。

网安事件屡见不鲜,继一银ATM盗领案、券商遭DDoS攻击勒索案,及WannaCry勒索蠕虫事件等网安问题层出不穷,有监于此,DIGITIMES日前在举办2017云端网安论坛台中场,吸引超过100多名学员参与,共同探讨如何在有限资源下做好全面性的防护。

网安事件屡见不鲜,继一银ATM盗领案、券商遭DDoS攻击勒索案,及WannaCry勒索蠕虫事件等网安问题层出不穷,有监于此,DIGITIMES日前在举办2017云端网安论坛台中场,吸引超过100多名学员参与,共同探讨如何在有限资源下做好全面性的防护。

综上所述,时值各行各业奋力推动数码转型的今时今日,许多甚难防御的新式网安风险,正环伺在你我的周遭,企业一个不留神,就可能让原本大有可为的商业创意,毁于黑客之手。

有监于此,DIGITIMES日前在举办2017云端网安论坛台中场,并以「技术、流程、策略:建构您的网安力」为活动主轴,期盼借重产学研各界专家的专业知识与经验,协助企业建立有效的威胁防护之道,守护得来不易的商业创新成果。

整合威胁情资  建立事件应变机制

勤业众信联合会计师事务所风险谘询服务经理刘耀元认为,网安攻防是一场不对称的竞争,单一企业难以对抗有组织/专业分工的黑客集团。以2017年3月经维基解密揭露的CIA 「Vault 7」档案为例,个中含括大量攻击与监控计划,相关漏洞信息武器将令多数企业无法招架。

刘耀元强调,进入数码创新时代,网安管理成为安全体系的对抗,唯有速度才是决胜关键,故企业务必做好三件事,一是「管理与技术纵深防御」,强化固有风险管理与控制成熟度;二是「技术检测与威胁分析」,提高体系弱点评估与威胁情资分析的能力及速度;三是「攻防演练与事件应变」,提升网安事件应变能量。

意欲落实上述目标,企业须练好几项基本功,首先即是强化威胁情资管理作业,建立CTI(Cyber Threat Intelligence)中心,善加管控威胁情资生命周期(依序涵盖情资的来源、收集、处理、分析及订阅),并将威胁情资淬炼为战略策略。

其次建立网安应变组织及程序,企业可参照ENISA或NIST等组织提供的国际最佳实务标准,设计网安事件应变(IR)措施,并针对高风险业务活动,考量外部威胁情资,设计与实施攻防演练。

DLP/DRM合一  巧妙解决数据窃失难题

精品科技网安顾问暨信息安全部经理陈伯榆指出,回顾2017上半年网安风险,总结有「恶意软件+漏洞武器」、「数据窃取外泄持续加剧」、「芯片/AP漏洞/类USB窃取」及「电脑装置窃失」等四大型态,这些威胁皆与数据盗窃相关。

由此可见,企业与政府必须重视数据窃失问题,尽快寻求有效对策,以避免伤害持续扩大。但被视为有助于保全机敏数据的数码版权管理(DRM),以往因加解密程序繁杂,导致生涩难用,为此精品科技透过SVS文件加密技术的推出,巧妙地让资产管理、DLP、DRM合而为一,使企业得以借助X-FORT单一代理程序无痛发挥数据保护功效。

至于杀伤力不断攀升的勒索软件,陈伯榆建议企业善用X-FORT档案安全区、意即「安全屋」机制,借此储存重要档案,因为仅特定软件才能读写安全区档案,故可严防档案安全,即使电脑不幸感染勒索病毒,用户仍可取出安全区的档案,并无数据遗失疑虑。

另论及电脑窃失外泄问题,可从硬盘防护角度建立最佳防线,不论透过USB key及TPM之整合应用,或运用BitLocker模式,都能让企业组织有效防止机密外泄,并在最小变动下维持使用习惯。

新时代端点防护  抵御网络恶意软件

翔伟网安科技资深技术经理许鸿源说,细数近年知名威胁程序,大致包括CryptoLocker、Locky与WannaCry三支勒索病毒(或蠕虫),及Mirai恶意软件。以让人闻之色变的勒索病毒而论,预期1、2年内达到高峰,此后才会趋于缓和,但肆虐期间仍将一直变种,用户须提高警觉。

前述勒索病毒及恶意程序,加上低调的APT攻击,使当今网络恶意活动益发猖獗,导致防毒软件疲态尽露,也让人人皆沦为黑客觊觎目标。许鸿源指出,黑客攻击可怕之处,在于擅于利用鱼叉式网络钓鱼(Spear Phishing)、云端跳跃移动(Operation Cloud Hopper)或变脸诈骗攻击(Business Email Compromise;BEC)等千变万化手法,令人防不胜防。

尽管企业勤于部署安全防护技术,但高达95%企业曾遭受攻击,显示网安防御出现大漏洞;唯今之计,须加强端点管理,跳脱传统黑名单防御模式。

为此F-Secure藉由九头蛇(手动扫描)、水瓶座(F-Secure与BitDefender技术融合的及时描扫引擎)、双子座(HIPS主机入侵防御系统)、闇夜极光(深层Rootkits防御)、信誉评等(实时在线防毒云端数据库),及深蓝技术(未知新型病毒行为模式侦测)等多重引擎交互运作机制,提高已知或未知威胁的侦测率,大幅增进端点安全防御力。

凭藉五招式  强化网络丛林的求生实力

中华电信数据通信分公司资深网安产品技术经理邱品仁说,综观近年重大网安事件,可归纳为DDoS攻击、入侵与操控IoT装置、勒索软件及APT等四大威胁。网安风险等于内外威胁、自身弱点、影响冲击三者相乘结果,企业须先厘清自身可能遭受的潜在风险,藉由适当的网安投入,将风险限缩在可控范围,切忌病急乱投医。

企业在网络丛林的求生指南,不外乎识别、保护、侦测、应变与复原等五大招式。欲做好「识别」,须透过资产盘点与风险评估程序,随时掌握弱点与威胁情资,达到知己知彼、百战百胜。针对「保护」,应以实体封闭隔离,做好关键资源区、进出管制区、办公室网络区之间的出入口防护,彻底落实存取管控,并搭配严谨的数据生命周期与权限控管。

有关「侦测」,应建立持续的网安监控机制,以侦测恶意程序及未经授权的存取行为,且定期执行弱扫与渗透测试。「应变」方面,透过事前准备,依序建立事件判读分析、威胁风险控制、威胁风险清除、事件复原及Lesson Learned等必要机制。在最终式「复原」部份,则需建立灾难复原机制,更应定期检视备援机制的有效性。

投资人才与教育  善用高科技执行防护

台湾威瑞特系统科技(Verint)总经理吴明蔚表示,当万物皆与网络连结,必定显露脆弱之处,因此展望未来世界,网安问题势将持续存在。而台湾尽管幅员不大,但网安高风险族群层面却很广,遭受严峻的APT威胁,更应痛定思痛找出因应对策。

吴明蔚认为,全世界在网安防护均面临教育、人才、策略等三大挑战。忽略教育,就无法将黑客旧闻变成防御新知;忽略人才,即不懂得运用高科技进行防护,也无助企业制定有效策略,买一堆设备徒然消耗电力。

2016年恶意程序逾6亿支,推论今后只会愈来愈多,强取豪夺更猖獗,而防御成本持续远高于攻击成本,就算企业建立密不透风的防护体系,坏人仍有三个必杀招式(没有奇怪连线、恶意程序及非法用户),仍可长驱直入,更何况还有零日漏洞的超强武器,故企业真的要有被入侵的准备。

意欲抵抗凶险威胁,企业用对方法比买产品更重要,须讲求「5个纵深」原则,建立事前识别+防护、事中侦测+应变、事后复原等完善机制,以期透过多元侦测、具体佐证、全面调查与有效应变,加快从发现威胁到处理威胁的时效。

守护「信息源」  遏阻机密外泄

群环科技业务专案经理黄永定说,2017年5月中旬,WannaCry勒索蠕虫袭击全球150国,台湾名列第三重灾区,故企业非常关心因应之道,「安全备份」即是必要的基础建设;可惜传统备份方式存在诸多罩门,无法在感染勒索软件的危急之际产生效用,为此该公司提供EMC Data Domain暨DPS整体备份方案,即使数据来源端遭勒索绑架,亦不致危及存放于Data Domain后台的备份数据。

此外上述方式系从Source端进行Dedup,可大幅提升备份速度,企业天天可做全备份,没有相依性,且有验证机制可供确保数据还原完整性,足以有效提升还原效率。

除了打好备份基础,黄永定强调,企业欲解决数据外泄,必须三管齐下从「信息源」着手补强。首先借助D-Security方案,于档案生成便自动加密,守护企业的机敏档案文件;其次透过dbAegis数据库安全稽核系统,实时监控数据库所有存取行为,连带提供自动异常侦测,发送告警通知。

最后则锁定黑客入侵的首要目标-「窃取特权帐号」,建构对应防范机制,一方面利用osAegis禁止任何人直接接获数据库,并留存所有轨迹纪录,二方面借助dbAegis记录Web使用者与DB特权使用者SQL执行纪录。

内外攻防得宜  方能安心上云

台湾二版(ESET亚太区总代理)高级产品经理卢惠光分析,企业上云面临的威胁有二,一是内忧,包括员工蓄意取走公司数据、误传数据或遗失可携式装置,二是外患,包括感染勒索软件、APT,或云端系统被入侵;近期引发轩然大波的WannaCry,便算是严重的外患之一。

不少人曾问,ESET能否防范WannaCry?卢惠光给予肯定答覆,透过ESET网络攻击防护功能,即使微软尚未发布更新,亦可主动阻止蠕虫传播,另搭配ESET云端防护系统,毋需更新便能阻止WannaCry。ESET「勒索防护盾」拥有独特的多重防护核心,搭配LiveGrid云端技术,可在网际狙杀链的各阶段主动反击,阻挡恶软件攻击。

企业上云的威胁,绝对不仅勒索软件,台湾二版亦针对其余祸患,为企业提供安内攘外方案。譬如藉由ESET进阶存储器防护、LiveGrid及漏洞防护等技术,防御APT攻击;利用ESET Secure Authentication双重认证安全,防止云端系统被入侵;透过DESlock+数据加密方案,执行完整硬盘加密、档案或数据夹加密、U盘加密、电子邮件加密,纵使员工不慎丢失装置或外泄邮件帐密、仍可保障数据安全;另提供Safetica DLP方案,降低人为因素(员工有意或无意外传数据)造成的伤害。

防御新思维:降低黑客潜伏时间

黑客年会创始人徐千洋表示,近年许多大型网站服务出现数据外泄事故,甚至自认为安全无懈可击、以悬赏方式召集黑客入侵的PornHub(全球最大色情网站),最终都遭到攻陷,显见现今攻击威胁已达无孔不入之境地,企业如何是好?

徐千洋建议,企业在资源有限的情况下,不妨先锁定最核心的业务,接着把防护建立在最需保护的环节,全力降低黑客的潜伏时间,及早发现敌人行踪、及早加以处理,才是网安王道;至于如何阻止黑客进入,在资源紧俏状态下,反倒未必是最重要的。

至于如何降低黑客潜伏时间?主要有三个面向,包括了系统整合,藉由Log整合或API串联等方式,让各家网安设备能够协同作战;其次是机器学习,找出既定Rule或Pattern所无法涵盖的异常徵万亿;再者是可视性,力求全盘掌握所有网络进出、数据流动状态。

在此同时,可结合漏洞揭露、威胁情报及顾问谘询等三道助力,让上述三件事做得更到位。企业切记「网安等于成本」,不是额外花费,假使仅为了节省成本而致天平失衡,便意谓风险提高,不可不慎。