無法做到完全的事前的預防,企業就應務實地將戰線往後延伸,考量如何在威脅成功進入後儘快發現,也就是縮短偵測時間(Time to Detection,TTD)
根據「思科2017年度網路安全報告」,2016發生資料外洩的企業裡,有超過1/3流失大量客戶、業務收益,總計損失超過20%。報告亦指出,僅有56%的事件警示完成調查,且修復者僅達一半以下,顯示現今企業資安面臨著極為嚴峻的挑戰。即便近年在網路攻擊不斷的威脅與媒體報導下,管理階層的資安意識均已顯著提升,並持續增加資安預算強化防禦,依然無法達到有效降低事件發生。深究原因主要可分為內、外兩大因素:外部攻擊手法不斷精進、內部IT環境日益複雜。
攻擊手法不斷精進
今年5月全球爆發的勒索病毒「想哭」令人記憶猶新,台灣更被列為全球三大重災區之一。遭到攻擊的企業因無法回復加密的檔案資料,造成日常營運的中斷,被思科稱之為「摧毀服務」(Destruction of Service,DeoS)。思科安全報告中提到,由於勒索軟體即服務(Ransomware as a Service,RaaS)的出現,大幅降低發動勒索攻擊的技術門檻,從2015到2016年間,單單美國勒索軟體的攻擊便上升了300%。而勒索服務的出現顯示整個網路犯罪產業進行有組織的分工,細密分工也意謂攻擊者將投注更多心力在攻擊技術的精進提升。
IT環境日趨複雜
@0:為了因應不斷演進的攻擊威脅,企業建置了各式的防護。受訪的資安營運主管提到,高達65%企業使用6-50種不同的資安產品,導致管理與維護上的困難;再加上現今行動裝置盛行,與雲端服務的採用,讓原來固有的網路疆域變得模糊,這些因素皆促使企業IT環境的複雜度增加,讓資安維護工作變得更加困難。思科資深副總裁暨資安事業部總經理David Ulevitch也認同,「複雜性一直是許多組織推動資安工作的障礙。」因應上述攻擊手法的演進,資安防禦的觀念也要隨之改變。從縱深防禦,進化成結合時間(事件發生前、中、後)、與空間(內網到雲端)兼顧的資安思維。
提高偵測與回應的投資
以往企業的資安工作著重在事前預防,以做到決戰境外為目標。但從層出不窮的入侵事件與迅速演變的攻擊手法來看,要將所有威脅阻絕在外的想法難以達到。為了讓有限的IT資源獲得最有效的運用,早在Gartner 2015的一項報告中就建議將預防與偵測回應的投資比例,從原來的9:1調整到6:4。
之所以增加偵測回應的比重,是因為既然無法做到完全的事前的預防,企業就應務地實將戰線往後延伸,考量如何在威脅成功進入後儘快發現,也就是縮短偵測時間(Time to Detection,TTD)。思科安全報告中指出,減少TTD能有效限制駭客的入侵活動以降低組織的損害,而思科在2016年底已將TTD從平均14小時降低到6小時。
能大幅縮短TTD,一方面仰賴思科Talos威脅情資中心收集並分析全球惡意攻擊活動,以辨識最新的惡意威脅。另一方面,即使檔案進入企業後才被判定為惡意軟體,思科的進階惡意程式防護(Advanced Malware Protection,AMP)的回溯功能也會持續追蹤記綠檔案活動,一旦偵測到惡意行為,會立即告知資安人員惡意軟體來源為何?做了什麼?現在位置所在?以減少後續應變處理的時間。
延伸到外網與雲端的防護
面對智慧裝置與雲端服務應用趨勢造成IT環境的日益複雜,在空間上企業資安的防護則要能向外延伸到行動工作者與雲端之上。例如做為企業第一道防線的思科Umbrella雲端服務,能過濾用戶的網路連結,阻擋對惡意網址、IP的存取行為,即使是在外的行動工作者,也可透過安裝用戶端軟體的方式,將網路瀏覽請求導回Umbrella雲端進行安全過濾,以免連結惡意網址而遭到攻擊入侵。
由於雲端服務的便捷與彈性,愈來愈多的企業開始採用Office365或G Suite這類的雲端服務,但企業首先要考量的是如何將原有的相關安全政策套用到這些雲端服務上。思科的Cloudlock雲端存取安全平台能藉由API整合,讓使用者在存取雲端服務時也能遵循企業的安全規範,像是透過合法裝置與正確地點來使用雲端服務,以確保企業機密資料的安全。
專業分工 建立有效防護
當駭客都已細密分工,不斷精進更新技術;相對的,企業資安卻還由IT人員兼任的情況下,企業是否有信心做好資安防護的工作?還是考慮將資訊安全交由專業的廠商負責?當然,這不表示資安廠商可完全取代企業原有的資安(或IT)人員,畢竟這些人是最了解企業自身環境與需求的人,所以只有他們能找出最適合的協助廠商與解決方案,廠商所扮演的應是一個提供協助與技術支援的角色,經由兩者的溝通配合,才能為企業打造出最安全有效的網路防護。
圖片資料來源:臺灣思科提供