IT技術的演進不只改變了企業資訊架構,也讓資安攻擊手法不斷翻新、變得更難以防範,Gartner副總裁Neil MacDonald表示:「企業投入在資安防禦上的資源越來越多,但是資安攻擊的頻率和精密度也越來越高。」尤其現代社會處在一個新的『力量連結』(Nexus of Forces)的環境背景中,所謂力量連結乃是指匯聚行動、雲端、社群與巨量資料這四股力量,這個新環境不僅創造了龐大商機,也帶來更高的資安風險,包括目標式攻擊、軟體安全漏洞...等,都是在此背景下產生的新型態攻擊手法。
Neil MacDonald認為,資安管理者必須充分掌握最新的技術趨勢,才能在規劃與執行資安風險管理計劃的同時,還能兼顧企業商機,以下就簡單介紹2014年十大資安技術。
第一、雲端存取安全中介服務(Cloud Access Security Brokers; CASB)
雲端存取安全中介服務是一套可以在企業內或雲端運作的軟體,位於雲端服務使用者與供應商之間,負責在員工存取雲端資源時套用企業安全政策,通常具有加解密、稽核、防制資料外洩(DLP)、存取控制、與異常行為偵測等功能。
過往,企業在採用雲端服務後,IT部門就失去了掌控權,而CASB則讓企業在其使用者存取雲端資源時能夠加以掌握及管控,因此可以說是雲端服務的安全控制點,面向雲端漏洞、惡意程式等風險越來越高,做好安全監控已是企業刻不容緩的議題,也因此Gartner認為,未來企業將會大量導入CASB以確保雲端的資料安全,2012年只有不到1%的企業這麼做,預估2016年,25%的企業會經由CASB平台存取雲端服務。
第二、適應性存取控制(Adaptive Access Control)
適應性存取控制是一種基於內容感知的存取管控機制,其具備內容感知與動態降低風險兩種特性。所謂內容感知是指,根據提出資料存取請求時的狀況,如:存取者身份、使用的存取裝置類型...等,決定可以存取哪些資料,而動態降低風險則是指,在某種範圍內適度地開放原本可能被封鎖的存取行為,目前包括網路存取控制(NAC)或一些BYOD解決方案,都是基於這樣的運作架構。
採用適應性存取管理架構的企業,讓員工的資料存取行為不會受到裝置與地點的限制,甚至能允許員工使用社群帳號來存取各種風險程度不一的企業資產,Intel近年來發展出的多層次安全信賴模型,其實就是一種適應性存取管控。Intel將資料存取層級分為5級,以前是根據員工身分來決定他的存取權限,但是在開放BYOD後,就還要一併考量設備類型與存取地點,才能決定可以看到什麼等級的資料,也因此,Intel發展出多層次安全信賴模型,透過幾種指標來計算信賴度,以決定可以看到哪些資料,並決定需要透過哪些技術才能存取,如雙因素認證或加密儲存等。
例如某A員工在咖啡店使用智慧手機,他的信賴等級是2級,只能存取第2級的資料,同時必須使用動態密碼OTP及PIN碼來做身分認證;又如某B員工在Intel內網使用公司配發的平板電腦,那麼他的信賴等級是5級,他的設備以及個人身分都經過公司認證後,可存取到第5層級的資料。
第三、全面沙箱分析(內容引爆)與入侵指標(IOC)確認
資安攻擊手法越來越精密,突破傳統資安防線不再是件困難的事,尤其像APT這種針對特定目標的攻擊手法更可說是百發百中,也因此資安防禦有了新思維,如何在第一時間察覺入侵跡象,讓駭客無法造成太大損失或匯出敏感資料,成為防禦此類攻擊手法的關鍵,於是資安廠商開始在設備中引進沙箱技術(Sandbox),包括APT解決方案、次世代防火牆、郵件閘道器...等,市場上都已經有結合沙箱技術的產品。
沙箱分析可能在雲端或資安設備端進行,其運作模式為,將郵件附加檔案或網址連結先丟到沙箱去運作,倘若內含惡意程式,就可以模擬該隻惡意程式在端點執行後可能會有的行為,例如:檔案寫入/執行、registry key值的修改、端點對外的連線、或檔案系統上其他的行為如rootkit、或把檔案隱藏...等,而這些威脅情資可以丟給防火牆、Proxy、DNS...等網路閘道設備或端點做阻擋。
從沙箱技術來看,目前分成模擬器(Emulation)與虛擬化兩種,Lastline資深安全技術顧問諶沛傑曾經表示,模擬器技術的沙箱是透過底層硬體直接記錄與分析,比較不需要在作業系統額外安裝系統分析工具,相較於虛擬化技術的沙箱來看,比較不容易被惡意程式偵測出沙箱環境。此外,模擬器技術的沙箱是藉由分析CPU指令集以及觀察記憶體的存取資訊,來判斷惡意程式與行為,避免因為應用程式與版本的差異而無法分析出惡意程式的風險。
第四、端點偵測及回應解決方案(Endpoint Detection and Response Solutions)
眾所週知,防禦APT攻擊最有效的方法就是,從端點(桌上型電腦、伺服器、平板與筆記型電腦)找出駭客在內網的擴散軌跡,也就是進行端點行為分析及端點鑑識。傳統作法主要透過人為分析來找出端點的問題,像是:透過掃描工具將網路拓墣抓下來分析、透過NG-IPS或網路封包側錄工具(Sniffer)進行分析,但2013年開始市場上陸續推出自動化分析工具,也就是端點偵測及回應解決方案(EDR),如FireEye的HX系列產品,Xecure Lab(現為Verint的Cyber Security部門)的Xec Probe與Xec Ray,趨勢科技的Deep Discovery Endpoint Sensor,以及RSA ECAT等。
EDR可說是一個新興的解決方案,目的是為了提昇企業防禦APT攻擊的能力,其特色是記錄了各種端點與網路事件,並將這些資訊集中存放在資料庫,透過工具自動進行分析,以便即早發現APT攻擊事件,或在發現攻擊後調查攻擊範圍。
前Xecure lab創辦人現為台灣威瑞特(Verint)研發長邱銘彰指出,EDR有兩種技術,一種是要安裝代理程式,主要在蒐集端點的log,等到出事再把log調出來。但企業現有環境已經裝很多agent在端點,如防毒軟體、資產管理軟體或HIPS,因此許多企業不喜歡再裝agent怕影響效能,佈署成本也高。且需要在出事前就已安裝,否則沒有留log就無法分析。他建議從網路佈署掃描,把軟體派送下去,不用常駐在端點,只需要snapshot就可以分析的方案,企業可依據端點威脅程度自行決定掃描頻率。
第五、新一代安全平台的核心:巨量資料安全分析
巨量資料是近年來備受關注的話題,它除了分析營運資料與客戶行為模式外,也能達到偵測與防禦資安事件的目的,像EMC就曾經透過巨量資料分析而發現網路攻擊事件。與傳統LM或SIEM相比,前者主要針對系統Log做分析,巨量資料分析所涵蓋的範圍卻更廣,包含所有運算單元與運算層的監控,且可以即時分析員工的使用行為,如:E-mail/AP使用行為、存取哪些資料、平日互動對象為誰…等,更即時有效地阻擋網路攻擊。
Gartner預測,至2020年,40%的企業都將建立一套「安全資料倉儲」來存放這類監控資料以支援回溯分析,藉由長期的資料儲存與分析,並且納入情境及外部威脅與社群情報,就能建立所謂的「正常」行為模式,進而利用資料分析來發覺真正偏離正常的情況。與傳統安全設備相比,前者著重於阻斷攻擊,巨量資料分析則強調偵測並立即回應違規(不正常)行為,協助企業作全面性的偵測而不擔心有所遺漏。
第六、機器可判讀的威脅情報,包含信譽評等服務
病毒、惡意程式與資安功擊型態變化的速度越來越快,為了快速掌握威脅情資,新一代資安平台多半具備整合與自動判讀外界情報資料的能力。目前市場上可供機器判讀的第三方威脅情報非常多,其中有很多是屬於信譽評等,對企業來說,信譽評等服務因為是動態、即時地在更新,因此可納入資安決策中,舉例來說,在判斷是否允許終端使用者存取內部網路或資料時,除了可以考慮使用者身份與當下所使用的裝置外,也可將URL和IP位址的信譽評等納入決策因素裡。
第七、以控制和隔離為基礎的資安策略
如同上述第六點所提,在病毒與惡意程式變化速度加快的情況下,傳統依賴特徵碼來判讀的方式效果有限,新的資安策略就是將所有未知執行檔都視為不可信賴,並傳送至隔離環境加以執行,如此就不會對日常運作的系統造成損害,也無法利用該系統當成跳板,攻擊其他企業系統。虛擬化、隔離、以及遠端顯示技術,都能用來建立這樣的控制環境,Gartner預估2016年20%的企業將採用這種虛擬化與控制策略,一改2014年幾乎未普遍採用的情況。
第八、軟體定義的資安
隨著CPU運算效能提升,讓軟體定義的資安具備可行性,簡單來說,就是將原本各自獨立的資安設備集中在一個硬體上,再透過軟體去實現各種不同的資安功能。Check Point在2014年3月推出的軟體定義防護安全架構(Software-defined Protection; SDP),算是一例,該架構分成三個不同的層次:管理層、控制層與執行層,透過統一的管理層,使用者能夠統一指揮安裝在執行層上的各種資安模組,並且可以在單一的主控台上,看見所有發生在網路底層中的事件。
與軟體定義的資安相似的軟體定義網路(Software-Defined Networking; SDN)技術,隨著發展日趨成熟,有些資安服務也可以透過SDN來提供,像HP自行開發的三款SDN相關應用程式:雲端管理、網路安全監控與負載平衡,其中有兩款就與資安有關,而精誠在前不久也宣佈將與日本專攻企業資安及稽核管理的軟體公司AMIYA合作,提供SDN解決方案,讓企業透過軟體設定的方式就能佈建網路,同時享有AMIYA所研發的amigram服務,其結合了集中式控管、VPN Tunneling、動態防火牆、AES資料加解密等功能特性,確保企業資料傳輸最後一哩的安全性。
第九、互動式應用程式安全測試
應用程式的安全測試分成動態與靜態兩種,動態應用程式安全測試(DAST)是從外部入侵(Outside in)的角度來測試AP有沒有安全漏洞,靜態應用程式安全測試(SAST)則是由內而外(Inside out),檢視原始碼、位元碼與二進位程式碼有沒有問題。
過往這兩個解決方案一直是各自獨立,近年來則出現融合兩者特色的互動式應用程式安全測試(IAST),根據Gartner研究,SAST可以補強DAST的測試結果,舉例來說,DAST偵測到的漏洞可以透過SAST來判斷漏洞來源在應用程式碼中的位置,透過SAST與DAST技術之間的互動可以有效提升應用程式安全測試的準確度,目前許多DAST解決方案已經具備IAST的功能,包括Acunetix、HP、IBM、NTO、Parasoft、Quotium等資安業者也開始提供IAST服務。
第十、針對物聯網的安全閘道、中介服務與防火牆
企業(尤其是製造、公共事業等資產密集的產業)都會有一些營運設備(Operational technology),這些營運設備的通訊模式正在改變,從傳統專屬通訊協定走向標準化網際網路通訊協定(IP),形成一個萬物相連的物聯網環境,資安風險也跟著大幅增加,再加上這些營運設備已經高度自動化,不需要人為介入就能彼此通訊,這使得資安防禦變得更重要。
通常企業在佈建物聯網的資安防禦時,必須注意以下四個重點,一、在設備上運作的軟體必須通過加密數位簽章的驗證,確保其真實性和完整性,同時避免未授權的軟體在設備上運作;
二、限制設備元件和應用程式存取資料或動用資源的範圍,也就是進行存取控制,讓它們只能動用完成工作所需的資源,如此一來即便被駭客入侵,也不會造成太大損失;三、防火牆、入侵偵測(IPS)或其他能進行深度封包檢測的資安設備,以便控制會進入設備的網路封包;四、定時進行軟體或應用程式更新。
另外,這些營運設備有時可能會使用一些過時的技術,例如Windows XP這類微軟已經終止支援的系統,這在企業IT應用中或許很少看到,但在部分產業基礎建設中仍扮演重要的角色,因此,企業必須評估整合新舊資安解決方案的可能性,而不是汰換既有的資安技術與服務,尤其目前許多資安產品與服務供應商已擴大既有產品組合,針對嵌入式系統與機器對機器(M2M)的通訊模式提供基本支援。
資安攻防就像一場永不間斷的戰爭,當攻擊方不斷改變策略與手法時,站在防守那一方的企業,也必須隨時調整腳步,才能讓自己立於不敗之地。