https://twcert2024.informationsecurity.com.tw/

觀點

主動防禦三部曲:偵察、獵捕、強化工事

2016 / 12 / 16
魯君禮
主動防禦三部曲:偵察、獵捕、強化工事

近期不斷被報導的資安事件有增無減,從正面看,表示資訊安全的重要性已經成為社會注目焦點,行政院正式成立資安處也明白揭示資訊安全的重要性已經提升至國家層級。企業高階管理階層的思維和觀念是否與時俱進,將是所有組織都應該思考的課題。從全球趨勢來看,數位時代的企業應以商場如戰場之思維來面對層出不窮的攻擊威脅。但是根據安永最新的全球資訊安全調查(GISS)趨勢指出,大多數企業仍在努力掙扎跟上時代的步伐。從2014年的調查顯示49%的受訪者預期他們在資訊安全運作上的預算將維持不變,然而於安永2015年調查結果顯示,這個數字下降到39%,許多資訊安全團隊未來所面臨的是資源維持不變或甚至更少的情況。

專職專能 評估績效更落實 

在現今的數位世界裡,網路攻擊事件日益增加,攻擊方式除了複雜度提高外還更具破壞性。與以往不同的是,現今的攻擊者並非靠運氣,他們是有組織的,除了有足夠的資金還有時間、耐性及專業知識。他們的目標是人性及系統流程中的弱點,他們不斷發明新的工具及技術以取得他們需要的資訊,並且越來越能識別組織安全的不足之處及未知漏洞。因此,企業投注資源建置獨立而有效能的資訊安全工作團隊已成為國際間的主流思維。 

台灣目前大部分的企業或政府機關,將資訊安全責任交由資訊單位負責,造成職能與角色衝突,也使資訊安全管理工作經常流於形式,亦無法評估績效。推動資訊安全管理多年來的經驗中,經常被問到:「我們都已經通過ISO27001這麼多年了,到底還應該做些什麼才能真正做到持續改善?」,尤其在個人資料保護法施行細則第12條,明列「整體持續改善」為保護個人資料之工作事項,但是如何落實是許多人心中的疑問。安永2015年的全球資訊安全調查(GISS)報告中提及在企業中潛伏的惡意程式,從成功入侵到被發現的平均時間,2014年大約是229天,2015年大約是205天,雖然看似有進步,但還是讓人忍不住要問,這6個多月的時間,我們還能做些什麼? 在此,我們提供了一個簡單而直接的建議:「建立主動防禦機制」。

何謂主動防禦?

相對於傳統以企業為堡壘的防禦方式,進化成在現代都市主動偵測入侵者,並阻止其犯罪行為的專業行動。佈署主動防禦機制的前提是:已經有一個有效的安全營運中心(SOC)和一套基本的弱點管理程序、資料和資產分類的標準。或者至少要有紀錄留存和事件分析的機制。然後以定期執行任務(專案)的方式達成回應外在威脅之目的。

三部曲之一:偵察 

以往許多企業都將資訊安全的責任交由資訊單位辦理,新的資訊安全思維是建立資訊安全小組,獨立於負責日常營運的資訊單位之外,直接向執行長或資安長報告,不須向資訊單位主管報告。
資訊安全小組應規畫建立主動防禦機制,並且採取行動。在資料雲端化,使用者分散化的網路環境,現代企業應該從堡壘式的縱深防禦進化到城市巡邏的概念。如果對於惡意攻擊手法和趨勢不瞭解,對於企業重要資產也不清楚,那麼無法抵擋外在威脅的風險當然會增加。

為了讓主動防禦達到最大效果,威脅情資單位(CTI)扮演了很重要的角色,威脅情資單位有助於奠定主動防禦的基礎,並於規劃中提供內容與方向。如果要在網路上主動發現可疑入侵者,網路防護人員須與網路威脅情資供應商合作,針對駭客行為分析,以建置可行之防禦策略及戰術。網路偵察任務使組織能針對特定的威脅者,或威脅場景瞭解其自身的風險等級。這類型的任務通常比一般的弱點掃描來的複雜。網路偵察可能包含了內部人員模擬駭客行為或委由外部廠商執行滲透測試。不論如何,資訊收集與偵察任務可能是數天的觀察實驗,用以確定現有的安全監控機制是否能有效的識別網路上特定的惡意軟體。

三部曲之二:獵捕 

獵捕任務是為了發現網絡上潛伏的攻擊,或過去並未發現的攻擊模式。網路防護人員透過積極研究已知的戰術、特定威脅者或威脅場景下看似無害的活動或事件來發覺入侵者。獵捕任務執行者採取防範攻擊的主動權,並縮短攻擊者潛伏在網路或發起攻擊的時間,對於惡意程式的獵捕有兩種方式。
1. 異常行為分析
透過網路流量模式檢查位於特定主機的狀態,以識別自動安全監控工具錯過之惡意活動。儘管組織可能已經有複雜且全面部署的感應器進行網路區段及端點的安全監控,但是惡意活動存在許多形式可以躲過自動檢測,然而這些惡意活動對於網路防護人員經常是顯而易見的。
異常活動是指任何一種不尋常、不正常或不屬於這個區域之活動狀態。除了獵捕新發現的異常活動,防護人員應確保也有搜尋歷史數據和紀錄做為參考。當防護人員意識到有一個特定的惡意行為時,通常都是當攻擊者開始使用之後,因此搜尋歷史紀錄是必要的,以確保破壞事件尚未發生。
2. 設陷和誘敵
這個任務在誘發潛在攻擊者執行可被偵查到的活動,或是讓隱藏攻擊者現形。一般當攻擊者取得網路存取權限後,他們就會將權限逐步提高,想辦法在不驚動監控系統的情況下保有存取權限,並冒充正當身分來取得他們要的資料。在這樣的情況下,偵測防護人員可以透過改變網路狀態,讓隱藏之攻擊者困在陷阱中並被迫使其現身。

三部曲之三:強化工事 

經由威脅情資單位(CTI)提供的資料,對照現行資訊資產的重要等級,有時可以發現駭客關注的目標往往和我們的認知不同,根據頻繁被攻擊的設備或資料來強化保護措施是應該考慮的作法。主動防禦中的強化工事活動,並非傳統的安全運作團隊執行之防禦活動,強化工事活動應該要能夠即時並有計畫地回應特定威脅者或威脅情境,而不是僅依據業界最佳做法當作設定或防護基礎。換言之,也就是依據網路威脅情資,針對特定攻擊者或威脅情境分析並擬定因應對策。所以建立敏捷式回應機制也應是現代企業面對資訊安全管理刻不容緩之事。

結論 
最近十年來在政府機關的推動下,資訊安全管理制度ISO27001驗證已經逐漸成為重視資訊安全的象徵,網路安全活動監控(SOC)也成為許多機關和企業的重要委外業務。主動防禦機制並不是要取代現有的這些安全控管措施,而是在這些基礎上進一步思考資訊安全管理的未來。試想如果有心人潛伏在組織內部窺視,我們不該有一些積極作為來保護自己和公司的重要資產嗎?主動防禦不僅是觀念,同時也是可以具體執行的行動。是不為還是不能,端賴高階管理階層的選擇。

本文作者目前任職於安永企業管理諮詢服務股份有限公司協理