首頁 > 資安知識庫 > 資安管理政策與教育訓練  > 資安事件調查與回應

資安 不只要縱深 還要聯防

作者:編輯部 -2017 / 06 / 12 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
現在的網路攻擊既然以獲取商業利益為目的,當然也講究所謂的「成本概念」。Verint Systems總經理吳明蔚在資安人所舉辦的Info Security 2017亞太資安論壇中以近來為相當熱門的DDoS攻擊為例,有特定的組織提供這類的「網路攻擊服務」,每次以1Gb/s流量攻擊15分鐘,僅需15美元。相較被攻擊者支付網路清洗流量所需付出的成本低了許多,自然成為駭客常用的攻擊方式。但他提醒企業在面臨這類情況時,應以所保護的數位資產價值為考量,才不會讓資安的投資顯得沒有意義。

惡意攻擊一定會進來
在分析當前駭客常用的攻擊手法上,總括來說就是以看似無害的正常管道進行滲透入侵,例如讓奇怪的連線不奇怪,或是讓惡意程式變的不惡意。吳明蔚進一步舉例,像利用員工合法的VPN連線,或現在許多人常用的雲端硬碟,從網路閘道設備上看來就是正常的連網行為。在惡意程式上則是利用數位簽章,讓惡意程式看似合法的程式,甚或是直接寄生在像SVCHOST的正常程式上,以躲避防毒軟體的偵測,最後就是透過AD主機、資產管理主機,或內部的防毒伺服器來取得最高網管權限,以迅速派送惡意軟體到其他端點裝置上。

無論駭客利用什麼手法入侵,最後的結論就是這些惡意攻擊一定會進來。所以吳明蔚提醒,以往著重在事前防禦的資安策略,現在應擴大到事中的的回應與事後的復原鑑識,也因此開始有EDR(Endpoint Detection Response,端點偵測回應)的討論。因為惡意攻擊最終還是要落地在端點上,所以可從端點裝置上來執行攻擊情資的蒐集與回應清除。相較以往端點防禦的作法,EDR更多了設備連動的概念,透過對異常行為的分析,讓企業能在攻擊未擴大前及早發現並回應攻擊威脅。也就是說現在企業的資安防護策略,除了建立多層次的縱深防禦以延長駭客完成入侵的時間外,也要讓閘道、端點等各個裝置能進行互動,形成一個聯防機制,以全面徹底清除威脅。

大型資安技術小型化、平民化
縱深聯防的資安策略確定後,接下來就是如何執行的問題。以往像這類能做到蒐集資料,經過關連分析找出異常事件發生的SIEM(安全資訊和事件管理)平台,雖然能收容多種網路、資安設備,但部署架構龐大,費用也相對昂貴,而僅適用在大型企業或有特殊需求的機構。對國內為數廣大的中小企業來說,像SIEM這類能進行事件分析與設備聯防的管理平台一直是難以企及的產品。

為了讓中小企業也能擁有設備聯防的能力,以抵禦進階威脅的需求,國內資安硬體廠商合勤科技推出結合網路雲端,具有智慧分析能力的「SecuReporter」資安服務。合勤科技商務Gateway事業中心協理晏自強強調:「把EDR這類以往只在金字塔頂端企業應用的防護技術予以平民化、小型化,在有限預算下解決中小企業的資安問題。」SecuReporter是一個由雲端與合勤自家設備所組成的架構,整個事件分析平台為合勤所自建,會把從各個客戶裝置上所蒐集的資料送往Amazon的雲端上。晏自強比喻雲端就像大腦一樣執行深度分析,而分布在客戶端的device就像手腳一樣,一方面蒐集攻擊資訊,一方面則按照大腦分析的結果進行反應,以建構一個內部聯防的架構。另外還能將視覺化的監控狀態與相關事件的警示傳送到管理人員手機上,達到即時通報,隨時掌握的效果。 

1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…