觀點

資安防禦不只軟體 搭配硬體做好全面防堵

2011 / 12 / 29
廖珮君
資安防禦不只軟體  搭配硬體做好全面防堵

資料外洩事件頻傳,單就2011年來看,便發生好幾起駭客入侵並竊取商業機密或客戶個資的案件,受害苦主不乏知名企業。像日本Sony接連在4、5、6及10月被駭客入侵導致客戶資料外洩;日本武器供應商三菱重工因電腦中毒,產品機密資料可能被竊;花旗銀行網站遭駭,外洩20萬筆北美區信用卡客戶資料;南韓遊戲業者Nexon幾天前也傳出旗下《楓之谷》遊戲伺服器遭駭,1,300萬玩家個資可能外洩。前述各個案例顯示,竊取企業機密或客戶資料,已經成為現今資安攻擊的主要目標,這也嚴重影響企業營運與商譽,根據資訊安全研究機構Ponemon Institute估計,2011年全球企業因為資料遭竊而造成的虧損高達1,300億美元,McAfee台灣暨香港區總經理葉精良認為,資安問題已經超越5~6年前的想像,不單單只是病毒或惡意程式攻擊那麼簡單,然而多數企業主卻太過低估問題嚴重性,才讓駭客有機可乘。

針對性目標攻擊 連嵌入式系統都不能倖免於難

從過去二年發生的資安事件來看,駭客攻擊愈來愈有目標針對性與組織性,而且非常地小心與低調,惡意程式經由網頁、E-mail、臉書或Twitter等社群網站、USB隨身碟…等正常管道,悄悄地潛入企業內網,方便駭客遠端控制或作為攻擊跳板,當企業組織察覺時,往往資料都已經被駭客偷走了。

葉精良表示,最常見的就是透過社交工程手法植入惡意程式,而且現在的社交工程已經進化為多層跳板式的攻擊,也就是說,社交工程第一個攻擊的對象,並不是主要目標、而是將其當作跳板,透過此人去攻擊其他人才是駭客的最終目標。2010年7月針對西門子(Siemens)WinCC與PCS 7系統而來的Stuxnet惡意程式,也是採用這種跳板式攻擊手法。駭客先竊取竹科公司的數位簽章並用來簽署Stuxnet,使其能夠通過微軟Win 7或Vista 64 bit環境下的安全認證,再利用微軟捷徑檔及西門子系統的漏洞發動攻擊。

過往,工控環境或其他應用情境中使用的嵌入式系統,因為規格特殊、系統封閉,駭客要投注很多時間與精神才能成功入侵,因此很少被視為攻擊目標,如今則大不相同,在這種有組織、針對性且多層式的攻擊趨勢下,其安全風險也愈來愈高。 

BIOS型Rootkit攻擊 透過安全晶片全面防堵

此外,BIOS(Basic Input/Output System)型RootKit攻擊捲土重來,也讓企業難以招架。葉精良表示,傳統防毒軟體架構於作業系統之上,電腦開機啟動作業系統後,才能發揮偵測惡意程式或病毒的功用,然而電腦在按下開機鈕到啟動作業系統之間,還得通過韌體啟動、Boot-up、Device Driver、BIOS、Application Driver等程序,這當中的安全防護相當薄弱,也讓駭客有機可乘,以BIOS型RootKit來說,因為它比作業系統更早被載入,以致於一般防毒軟體很難偵測得出來。

1998年出現的CIH病毒,以及今年9月發現的BMW病毒,都是透過BIOS啟動惡意程式的攻擊類型,BMW病毒先感染主機板的BIOS晶片,透過BIOS感染硬碟MBR區,再經由MBR控制Windows系統載入惡意程式,受害者無論是重灌作業系統、格式化硬碟,甚至換一顆新的硬碟,都無法徹底清除病毒。

葉精良認為,面對此類攻擊,最理想的防護方式為將防毒技術與處理器(晶片)整合,透過硬體安全技術來保護常駐在記憶體中的系統、驅動程式和其他軟體。採用硬體防護的好處是不需要取得RootKit相關資訊,就能偵測出它的存在,即時地回報、阻擋、隔離和移除掉試圖載入到記憶體的威脅。

另外,對ATM、KIOSK、POS…等嵌入式系統來說,也相當適合把安全防護技術嵌入在晶片裡的解決方案,以前ATM設備的安全防護方式,就是在前端架設一台防火牆,這種作法雖然可以降低安全風險,卻也同時帶來耗電及管理上的問題,如果嵌入式系統的主機板能結合安全晶片,讓主機板賦予安全防護功能,就不必擔心此類困擾。

結論

展望未來,企業除了小心前述的資安攻擊趨勢外,也要注意伴隨雲端與行動應用而來的身份管理問題。行動連網及雲端技術成熟,將系統放上雲端已成企業IT必然發展,而智慧型手機或平板電腦的快速普及,透過行動終端設備連上雲端系統處理公事,也將成為常態,因此,企業的資安管理模式必須跟著改變,要能做到以使用者身份為基準(role-base)的管理,無論員工使用哪一種終端裝置連上雲端系統,都要有一致的資料存取政策。面對未來多變的資安攻擊態勢,企業應設法整合現有的資安設備,讓彼此互通訊息,才能有效提升資安防禦的強度。

McAfee台灣暨香港區總經理葉精良認為,資安問題已經超越5~6年前的想像,不單單只是病毒或惡意程式攻擊那麼簡單,然而多數企業主卻太過低估問題嚴重性,才讓駭客有機可乘。