資安不只要縱深還要聯防

2017 / 06 / 12

編輯部

現在的網路攻擊既然以獲取商業利益為目的，當然也講究所謂的「成本概念」。Verint Systems總經理吳明蔚在資安人所舉辦的Info Security 2017亞太資安論壇中以近來為相當熱門的DDoS攻擊為例，有特定的組織提供這類的「網路攻擊服務」，每次以1Gb/s流量攻擊15分鐘，僅需15美元。相較被攻擊者支付網路清洗流量所需付出的成本低了許多，自然成為駭客常用的攻擊方式。但他提醒企業在面臨這類情況時，應以所保護的數位資產價值為考量，才不會讓資安的投資顯得沒有意義。

惡意攻擊一定會進來
在分析當前駭客常用的攻擊手法上，總括來說就是以看似無害的正常管道進行滲透入侵，例如讓奇怪的連線不奇怪，或是讓惡意程式變的不惡意。吳明蔚進一步舉例，像利用員工合法的VPN連線，或現在許多人常用的雲端硬碟，從網路閘道設備上看來就是正常的連網行為。在惡意程式上則是利用數位簽章，讓惡意程式看似合法的程式，甚或是直接寄生在像SVCHOST的正常程式上，以躲避防毒軟體的偵測，最後就是透過AD主機、資產管理主機，或內部的防毒伺服器來取得最高網管權限，以迅速派送惡意軟體到其他端點裝置上。

無論駭客利用什麼手法入侵，最後的結論就是這些惡意攻擊一定會進來。所以吳明蔚提醒，以往著重在事前防禦的資安策略，現在應擴大到事中的的回應與事後的復原鑑識，也因此開始有EDR(Endpoint Detection Response，端點偵測回應)的討論。因為惡意攻擊最終還是要落地在端點上，所以可從端點裝置上來執行攻擊情資的蒐集與回應清除。相較以往端點防禦的作法，EDR更多了設備連動的概念，透過對異常行為的分析，讓企業能在攻擊未擴大前及早發現並回應攻擊威脅。也就是說現在企業的資安防護策略，除了建立多層次的縱深防禦以延長駭客完成入侵的時間外，也要讓閘道、端點等各個裝置能進行互動，形成一個聯防機制，以全面徹底清除威脅。

大型資安技術小型化、平民化

縱深聯防的資安策略確定後，接下來就是如何執行的問題。以往像這類能做到蒐集資料，經過關連分析找出異常事件發生的SIEM(安全資訊和事件管理)平台，雖然能收容多種網路、資安設備，但部署架構龐大，費用也相對昂貴，而僅適用在大型企業或有特殊需求的機構。對國內為數廣大的中小企業來說，像SIEM這類能進行事件分析與設備聯防的管理平台一直是難以企及的產品。

為了讓中小企業也能擁有設備聯防的能力，以抵禦進階威脅的需求，國內資安硬體廠商合勤科技推出結合網路雲端，具有智慧分析能力的「SecuReporter」資安服務。合勤科技商務Gateway事業中心協理晏自強強調：「把EDR這類以往只在金字塔頂端企業應用的防護技術予以平民化、小型化，在有限預算下解決中小企業的資安問題。」SecuReporter是一個由雲端與合勤自家設備所組成的架構，整個事件分析平台為合勤所自建，會把從各個客戶裝置上所蒐集的資料送往Amazon的雲端上。晏自強比喻雲端就像大腦一樣執行深度分析，而分布在客戶端的device就像手腳一樣，一方面蒐集攻擊資訊，一方面則按照大腦分析的結果進行反應，以建構一個內部聯防的架構。另外還能將視覺化的監控狀態與相關事件的警示傳送到管理人員手機上，達到即時通報，隨時掌握的效果。

SecuReporter的運作是希望藉由從客戶端的設備來蒐集相關資料，經過長期累積的Big Data分析來萃取出有效的威脅情資(intelligence)，接著形成相關資安政策(policy)。然後管理者就可按自己的需求偏好(preference)進行設定，成為有效遏止攻擊的行動(action)。舉例來說，當端點發生異常行為時，管理者可以選擇是要直接中斷網路連線，或僅進行監控等policy予以回應。而目前能做到的是提供監控、異常警示，並協助客戶建立policy，未來則希望透過自動學習，根據客戶建立的policy，讓設備能自行應變，以節省人力的介入。

至於在費用上，目前雖然尚未決定，但可能以按月計費的方式提供服務。因為是採用雲端架構，所以用戶規模愈大，攤銷成本後能提供的價格也就愈有競爭力。目前SecuReporter的推出只是開始，未來會朝向讓設備自動回應，減少人力介入為目標。另外，由於客戶對遠端控制設備仍有安全疑慮，傾向在公司內部由網管人員執行，所以在手機的應用上只提供監控與警示訊息發布，但之後希望經過適當的身分驗證，讓客戶能直接在手機執行遠端操作。未來也可能會介接其他廠商的設備，以更符合客戶異質環境的需求。

資料防護的最後防線
不少駭客攻擊的最後目標就是被害者所擁有的機敏資料。尤其像銀行或大型電商均持有為數眾多的客戶個資，如果發生個資外洩不但影響商譽，更可能面臨使用者或主管監理機關的鉅額賠償或罰款。所以在部署各項防護措施後，企業組織也會考慮建置資料庫的加密，當作攻擊目標的最後一道防線。

談到資料庫保護，亞利安科技資安技術支援部經理王添龍建議要先區分正式與測試環境來探討。正式環境中要做資料庫保護，直覺想到的就是資料庫欄位加密，但馬上就會碰到效能影響的問題，整個資料庫的運作甚至會慢到幾倍到幾十倍。再者資料庫加密需搭配適當的權限管理，但在台灣的使用環境下，為了節省成本，通常僅用1、2個帳號來存取資料庫，這也影響到加密的防護效果。另外，欄位加密後，資料格式與長度可能都會改變，資料表需要調整，原本相互參照的欄位也可能出現問題，這些都是資料加密可能遭遇的問題。

因此在實際環境中，在應用層的部分可利用稽核方式來記綠資料庫的存取行為，設置應用程式存取的黑白名單，發現異常操作時予以阻擋；或是透過遮罩的方式，避免資料完全洩漏。另外在系統層上則可以做檔案的加密，在安全的考量下減少對效能的衝擊。

在測試環境中的資料如果是從正式環境複製而來的真實資料的話，就有可能面臨資料外洩的風險。但企業因為成本考量，在測試環境中通常不會比照正式環境建立一樣的完整防護，加上在開發階段為方便委外或專案執行的廠商進行測試，通常不會有太多的限制。所以可以直接用靜態遮罩的方式，將資料轉換成假的資料，避免影響測試又能防止機密資料外洩。

2017亞太資訊安全論壇資安聯防