企業安全防護之道

隨著科技進步便利,網路威脅(Cyber Threat)也在你我生活中隨之而來。近年來可從報章雜誌、網路媒體介紹國內外知名駭客入侵事件。如:駭客透過改商務電子郵件並從中修改匯款帳號,藉此詐騙貿易公司交付貨款[1]、駭客亦能入侵HBO取得劇本、合約書等機密資料並於事後勒索數百萬美元[2]等。上述案例都提醒著網路安全的重要性,由於網路威脅涵蓋範圍遼闊,無論是木馬(Trojan)、病毒(Virus)、殭屍病毒(Botnet)、漸進式持續威脅(Advanced Persistent Threat, APT)等。這些都使得公司資訊人員與資安人員疲於奔命。

因此作者根據企業內部網路環境將防禦與偵測方式,可區分為三大部分。分別是:外網防禦、內網偵查及網路入侵偵測。

外網防禦,係指將網路威脅阻擋於外部,降低網路威脅進到企業內網風險。目前多數企業大多數使用防火牆(Fire Wall)、Web應用防火牆(Web Application Firewall , WAF)阻隔網路威脅。同時可搭配滲透測試(Penetration Test)提升WAF防禦能力,透過開源威脅情資(Open Source Intelligence, OSINT)提升防火牆防禦範圍。

內網偵查,係指於企業內部偵查網路威脅。由於多數的防毒軟體多使用特徵比對(Signature Matching)作為核心偵測方式,也因此當駭客自製特殊惡意程式亦或是惡意程式尚未廣泛流行前多數防毒軟體沒有掌握足夠特徵,於此階段其不具備偵測之功能。也因此建議使用下列3種方式進行提升。

於端點主機上佈署哨兵(Sentinel),若要提升企業內部網路安全防禦可於端點主機上安哨兵進行偵測,倘若發現惡意程式或惡意行為,便可即時告警通知資安人員。常見工具如 : Threat Sonar工具等。Threat Sonar,擅長剖析記憶體資訊,尋找可疑程式並針對可疑程式進行剖析與告警。並可支援Active Directory進行大量佈署,因此可大幅減少資安人力浪費,快速掌握感染主機與感染資訊。

佈建蜜網(Honeynet),企業可透過防毒軟體或端點監控工具掌握主機是否感染惡意程式。然而倘帳號密碼外洩,駭客惡意使用帳號密碼登入進而探測內部網路、連接內部資料庫竊取重要資料時防毒軟體卻無用武之地。因此需要於企業內部佈署蜜網,如: Trapx[3]。Trapx,可於企業內部模擬多種服務,如: 檔案伺服器、資料庫及網頁伺服器等。亦可模擬醫療設施-核磁共振攝影(亦稱磁振造影, Magnetic Resonance Imaging,MRI)。金融服務SWIFT (Society for Worldwide Interbank Financial Transfers, SWIFT)等。透過這種方式資訊人員與資安人員,可用以了解企業內部有多少潛藏威脅。藉此找出潛藏於內部網路的可疑裝置。

威脅情資萃取,每日網路上均有很多公開威脅情資,倘若將所有情資製成網路入侵偵測規則(NIDS-Rule)、佈署於入侵偵測裝置上可能會因為規則太多導致網路速度變慢準確率降低。也因此如何萃取出有效情資便是一大課題。常見工具,如:MISP(Malware Information Sharing Platform & Threat Sharing, MISP)可用於蒐集網路公開威脅並透過驗證與追蹤機制,減少網路入侵偵測規則、提高入侵偵測系統偵測率。

網路入侵偵測,如果企業需要協同作業勢必需要使用網路進行溝通。倘若主機遭植入惡意程式,需要透過網路與中繼站(Command & Control Server, C&C Server)報到。倘若密碼外流,駭客亦須使用網路遠端操控被駭主機。上述種種說明網路入侵偵測之重要性。因此網路入侵偵測系統相對重要,常見工具,如: Snort、Suricata等。Suricata可支援高速網路封包蒐集並使用多執行緒進行入侵偵測比對,包含:深度封包檢測(Deep packet inspection, DPI)。同時可識別逾多種通訊協定並支援重組封包內容。透過類似工具可以快速掌握公司內部網路與外部網路所遭受之威脅。亦可協助資訊人員和資安人員掌握惡意IP,進而進行調查與分析防堵。藉此可將潛藏於企業內部的威脅一一剃除。

隨著每間公司所屬的產業不同,亦會衍生出不同的資安需求。也因此所需要的產品與服務會相對特殊,若公司所屬於製造業可能會需要建置一套完整的產品通報機制與應變團隊。其中不乏國際大廠投入,如日本松下集團建立Panasonic PSIRT (Panasonic Product Security Incident Response Team)[4]在國際上頗負盛名,不少媒體亦報導過這個團隊如何因應現在持續擴大的物聯網威脅(Internet of Things Threat, IoT Threat)[5]。若以製造業為例,便會需要如SecDevice[6]的安全測試工具,SecDevice可以用以快速掃描與挖掘物聯網設備(IoT Devices)的資安問題。業主可搭配此工具,針對漏洞進行防禦與修補。此工具亦可用以挖掘工業控制系統之漏洞,藉此亦可提升我國關鍵基礎設施保護(Critical Infrastructure Protection, CIP)之防禦能力。

一旦使用上述網路安全工具與資安防禦機制是否就能使企業內部安全無慮、固若金湯?其實不然,由於駭客攻擊手法千奇百怪,透過上述工具僅能提升企業內部安全防禦能力。最重要的還是,如何針對員工進行內部資訊安全教育訓練與制定資安政策。透過完整的資訊安全教育訓練、搭配網路安全工具及資安防禦機制便可阻擋駭客一波又一波網路攻擊達到提升企業安全防護之目的。

參考資料:

1.新聞 - 駭客改商務電郵帳號詐騙貿易公司受害 2.新聞 - 駭客入侵HBO取得劇本、合約書等機密資料勒索數百萬美元 3.Trapx 4.Panasonic PSIRT 5.IoT化で高まる製品向けのインシデント対応--「P-SIRT」が本格化 6.SecDevice
當期電子報
透過電子報,隨時了解來自世界各地的網域資訊!
訂閱電子報,請輸入email: