由於網路攻擊已經走向自動化發展,在雲端與加密基礎設施不斷擴張的趨勢之下,資安長(CISO)也不能再依靠手動的網路防禦工法。
現今的威脅攻擊(exploit)有很大一部分是完全自動化的,它們使用廣泛掃描網際網路的工具,不斷偵測門戶大開的入口。現代化工具和普遍可見的威脅軟體即服務(crimeware-as-a-service)的架構,已經使得網路攻擊者能在全球性的規模下,以極快的速度運作。此外,雖然安全協議的設計目的在於維護隱私,但加密卻也同時阻礙了威脅的監控和檢測。Research and Markets公司預測,全球雲端加密市場將從2017年的6.454億美元,成長到2022年的24億美元。
IT安全團隊會被當今日益激增的網路攻擊所擊倒,可能缺乏因應能力和專業知識。因應威脅的反應時間和範疇正在縮小,因為自動化攻擊現在可以在短時間內清除他們的蹤跡,所以我們需要一個自動化的電算系統,模仿人類專家的決策過程來檢測威脅。這樣的控制措施可能不會消除實際的威脅,但絕對有助於遏制或隔離破壞行為,讓事件因應小組有更多緩衝的時間來處理。
建議您們5個重要的因應攻擊面向的策略,來阻擋自動化攻擊:
1. 更新管理-更新管理是絕對必要的基本動作。Mirai和Hajime這隻更先進可自我散佈的蠕蟲,可以說明當IT團隊未能修補已知漏洞時可能發生的損失。
2. 入侵防禦系統-入侵防禦系統(IPS)是組織的第一道防線。由於物聯網(IoT)設備製造商並不對安全負責,數十億台設備雖容易遭受攻擊,卻看不到任何更新。在解決這個問題之前,IPS需要執行虛擬更新、阻止黑客,並抵擋鎖定IoT設備的攻擊。
3. 備份隔離-因為勒索攻擊正在追尋有價值的資料。已有許多勒索軟體入侵的案例,它們侵入、感染資料和備份,造成災難性的結果。備份隔離則顯得更不容忽視,另外提醒備份最好可以與網路隔離。
4. 著重於可見性-人們總是試圖建立一個堡壘來對抗看不見的敵人,相對於築牆防禦,人們應該善用威脅情報來了解攻擊者的概觀,以及他們採用的策略和程序,然後再根據這些訊息進行智慧型防禦。優先考量組織內重要資產的安全性,否則當資產遭受分散式阻絕服務的勒贖或攻擊時,將會大大耗費企業的營運成本。
5. 相互操作性-一旦看清你的敵人,並建立適當的解決方案後,就得加快防護時程。採用主動解決方案,並查看建立互相操作性(interoperability)的方法。大多數的企業組織都有不同供應商提供的各種解決方案,藉由進一步整合和強化既有的安全設備,利用先進的威脅情報共享,以及開放式架構的安全框架,嘗試降低複雜度。
本文作者目前任職於Fortinet全球安全策略長一職