https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

我們的管理與思維,沒跟上新攻擊型式

2015 / 01 / 05
侍家驊
我們的管理與思維,沒跟上新攻擊型式

即將進入2015年,資安人媒體訪問趨勢科技總經理洪偉淦,邀請他來談談最新的資安威脅,及面對威脅該有的態度。

回顧過去10多年的變化,
管理流程變的不多、技術變化很大。

攻擊型式的改變
現在的攻擊是針對式客製化的攻擊,以往APT是一種利基型非主流的攻擊型式,現在反而變主流。同樣的現在的病毒不再是大量散佈、SPAM也不再是大量發送,反而明顯的以區域、行業別來發送。

平台的改變
目前企業環境的雲與端都發生變化。國內企業級的應用,超過70%都導入虛擬化,當然應用上還不到70%,大多是web 應用先虛擬化,infrastructure部分、server或桌面虛擬化倒是不多。現在Software-defined networking, software defined storage, 甚至software defined enterprise 早晚會變主流。這時資安架構就會很不一樣。美國及澳洲的public cloud爆炸性成長,移往public cloud是趨勢,現在來看Hybrid cloud是明顯趨勢。

台灣對cloud的認知,會認為是降低成本,其實cloud的價值是快速佈署,省下了server但軟體費用增加,加上台灣硬體、管理成本較低,走cloud降低成本的因素就更薄弱了。故那些全球轉型、企業擴張的企業,就更能體會cloud的好處。傳統買進硬體設備灌入相關資料,可能要兩天48小時,走cloud可能幾分鐘就好了。加上創新企業風險較高,不必一次投資相關設備,是很好的選項。特別是走雲端服務的相關企業,優點更明顯。以cloud測試市場,萬一用戶不如期待,設備投資不多,萬一用戶衝的比預期快,又可以馬上擴充,彈性十足。從這看,台灣還是偏製造,創新型企業相對較少。

Trend Micro與雲端供應商合作密切,應用趨勢到哪,Trend Micro就跟到哪。計價方式與public cloud計價方式一樣,讓資安與基礎設施一起建。

Client端的改變
談到移動裝置的管控無論MDM, MAM都很難控,主要源自公司很難對個人設備做積極管理。趨勢推出Safe mobile workforce,以thin client的概念,透過virtual Android連到企業應用系統,無論前端是iOS, Windows都可自由運行。Client透過server連上virtual machine上應用系統

管理跟不上新攻擊方式
APT帶出了企業管理與流程面的欠缺。駭客運用所有可能工具、各種方法、整合出最佳攻擊方式。送出一封mail、用戶點擊後惡意程式置入、data回傳、佔據CNC server、橫向擴散、擷取admin權限、佔領AD server、入侵更多用戶並擷取整個database。 攻擊路徑橫跨企業內所有資產,每個資訊單位都波及,無論是管AV的 OA團隊、管網路的網路團隊、管critical server的infra團隊,除非CIO知道發生事件,否則通常通是能壓就壓,將問題私了。有時事件上不了CIO,這時如何整合所有資訊團隊一起面對問題、調整防禦機制。技術只能提供線索,但管理流程未能全面配合。

以往事件是單點的,中毒由防毒解決、郵件由郵件管理機制面對,但APT是全面的。機器設備買了、alert發出了,權限無法顧及、或資源無法面對,這是企業的損失。 因應新型態的攻擊,管理思維沒跟上,仍期待廠商能代為處理,網管關心網路順暢否、server關心SLA大都不關心安全。這問題以前就存在,APT讓問題上檯面。 APT問題更嚴重的是,許多單位根本不知道被攻陷了。

2015的期待
政府採購方式有沒有變的機會,有沒有機會更重視軟體價值? 有沒有機會更重視資安服務? 畢竟政府採購可以帶動國內整體採購方式的變革。

以往大SI不重視資安這塊業務,他們看的是營業高的server, storage, network,security金額小又麻煩。現在security市場熱、security在network是一個議題、SI面臨轉型壓力,現在對security關注度上升。未來的通路將有傳統SI以及cloud SI,短期間內應該會是兼具兩種服務的Hybrid SI為主流。過去因為SI不重視,現在只要他們重視好好學,有機會做好的。資安廠家無法從產品到服務都做好,用戶還是需要SI提供較好的on-site service.

我們可以建構一個好的資安生態鏈,由資安廠家支持資安服務商,再往上支持一線on-site service。因為產品端即使自動化,頂多能做到90%自動化,至少有10%需要專家協助。硬體加軟體家服務,會是資安整體服務最佳模型。產品設備能做的有限,未來資安大部分是服務,到後來要關注的就是服務的價值。

這種轉變也將帶動預算編列的改變,過去預算編列以買資產的概念來規畫,買多少主機、買多少頻寬。當產品設備轉為服務,方式是訂購的方式,業務單位自己就可以決定需要甚麼,IT將會去中心化,甚至新的Software defined Enterprise,都將衝擊現有的IT預算編列習慣。

同樣的,當政府將軟體納入採購,也就是將服務納入採購,千萬不能低價化,這才能確保服務的品質要好,如何體現服務的真正價值。以趨勢科技為例,下一步可以是趨勢科技扮演產品設備供應商,而趨勢科技的夥伴提供各種附加價值的服務。反之,現在的採購則將服務視為產品的一部分,是一個配角。當服務變成主角,整個資安產業才會健康,對整體用戶才是福音。