APT攻擊引起企業對弱點管理的重視,傳統定期掃描弱點的作法已不足夠,企業必須要有更積極的作法,結合流程概念與SIEM資安事件管理平台,進行弱點的生命週期管理,確保弱點可以被有效解決。資安攻擊日益激烈,無論是攻擊手法或動機都與過往有很大的不同,尤其近年來,進階持續性滲透攻擊(Advanced Persistent Threat; APT)大行其道,針對特定企業量身打造攻擊手法,有組織且持續地進行攻擊,不僅成功率高且不易被察覺,對企業資安造成很大的威脅。
根據過往APT攻擊事件來看,所謂APT攻擊通常按照以下流程在進行:駭客組織首先針對目標企業內特定人士(通常是具有權限者),設計一封夾帶惡意附件的社交工程郵件,郵件內容多為長官交辦事項、開會通知...等,由於信件內容乃是針對收件者客製化設計,因此很容易取得收件者信任,在不知情狀況下開啟附件,進而觸發應用程式或系統本身的弱點,自動安裝後門程式與建立C&C通道,開始在內部擴散並竊取資料。
結合業務流桯概念 從弱點掃描進化至生命週期管理
由於APT攻擊是經過長期規劃且結合各種不同手法,因此很難靠單一解決方案去抵擋或防禦,而且市場上也沒有這樣的解決方案,比較可行的方式是從管理面著手,例如:加強員工社交工程演練、定期更新修補程式、弱點管理、定期檢視Log...等。
其中,弱點管理可說是效果最顯著的一種,因為APT社交郵件中的惡意程式,多半根據系統或應用程式弱點來設計,倘若企業能有效管理弱點,自然能降低APT攻擊成功的機率。而且,根據IBMQ1 Labs調查,企業受到資安攻擊的原因有很多,其中一個就是未解決基礎架構中的主要弱點,由此可見弱點管理之於資安防護的重要性。
只不過,目前已經做到弱點管理的企業並不多,大多只是在系統/AP廠商發佈更新時跟著上patch,或是定期透過弱點掃描工具檢視內部存在哪些弱點,這種作法雖然可以發現弱點,卻無法確保弱點是否被解決,在APT強烈威脅下,企業弱點管理應該要有更積極的作法,亦即結合流程概念與資安事件管理平台(Security Information and Event Management; SIEM),進行弱點的生命週期管理,確保弱點可以被有效解決。
所謂弱點生命週期管理的意思是,將內部現有弱點整合至SIEM平台中,透過SIEM進行管理,在此要做的不單單只是知道哪個系統或應用程式有新的弱點,必須進一步結合流程概念,從弱點的發現到補強進行完整的生命週期管理,換句話說,當企業發現一個新的弱點時,SIEM會自動指派給相關負責人,並訂出處理期限、持續追蹤處理進度,直到確認弱點已被補強才會結案。
這種做法除了可以強化防禦APT攻擊的能力外,對於大規模企業、內稽內控制度嚴謹或有特殊法規要求的產業來說(如:銀行、電信),也非常重要,例如:PCI-DSS便要求支付卡產業必須每季進行一次弱點掃描,且會複查確認弱點處理狀況,此時便可透過弱點生命週期管理出示相關報告,證明自身確實有按照規定在執行。
弱點生命週期管理的3個事前準備工作
1. 清楚了解自身所擁有的資產項目及其重要性,哪些是重要的設備?哪些是重要的訊息?如果企業已經導入ISMS資訊安全管理制度,這部份便可結合ISMS資訊資產評價來進行。
2. 清楚知道與IT設備相關的所有訊息,包含IP位址、應用程式、資產管理者、主機...等,除此之外也要掌握IT資產所產出的資訊內容,例如:有沒有包含個人資料,一般事件或日誌檔(Log)不會有個資,但應用程式就可能會有。簡單來說,企業要了解IT資產的重要訊息,知道自己關注的是什麼,哪些是很重要不能出任何問題的資產設備。
3. 清楚每一台主機上所運作的應用程式,及會連到哪些地方,如果企業使用委外代管的雲端機房,則還要清楚資料傳輸安全性和資料保護的方式。
接著則是將相關資訊滙整至SIEM平台中,通常會整合以下3個項目:弱點(分為資產本身、外部或內部三種來源)、資產管理者、弱點處理者。後兩者可以根據現有IT人員的職務內容作設定,至於弱點來源,則可整合企業目前所使用的弱點掃描工具,將產出結果滙整至SIEM平台即可,通常企業的弱點掃描工具不會只有一種,例如:有些工具專門用來找出基礎架構的弱點(如:硬體或網路設備),有些則是用來掃描網路和應用程式的弱點,無論哪一種工具,目前的SIEM平台大多可以順利整合,如果企業選擇的弱點掃描工具與SIEM平台為同一家廠商,整合所需花費的時間與人力成本就會更低。
另外,弱掃工具找出弱點的能力,SIEM平台彈性是否足夠(彈性夠,才具有把弱點、資產、管理機制整合在一起的能力,否則充其量只能將弱點項目滙整進來而已)、有沒有持續追蹤與稽核的機制...等,這些都是企業在建立弱點管理機制時應該注意的要素。
(本文作者現為IBM軟體事業處業務專業經理)
閱讀: 防禦APT攻擊 從弱點生命週期管理開始 (下篇)