https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

專題

「雲」&「端」的資安痛點:邊界模糊,警訊過多,人手不足

2021 / 03 / 29
編輯部
「雲」&「端」的資安痛點:邊界模糊,警訊過多,人手不足
 企業上雲是當前不可逆趨勢,資訊安全考量,也從企業內部擴大到雲端。自2020年疫情開始後,遠端工作模式蔚為風尚,數位轉型快速變遷,雲企業在網路攻擊只增不減的威脅下,如何有效建置全方位防護系統,成了資安單位最重要課題。
 
趨勢科技與Fortinet於3月9日假台北松山文創6F,資安人舉辦的「2021亞太資安論壇暨展會」中,指出當前駭客攻擊手法日新月異,雲端運用全面展開帶來的資安要求更顯多樣性,單靠端點防護平台(EPP)、端點偵測與反應(EDR)等防護系統或仍不足。雲企業需要的,是資安偵測與回應技術整合的雲端架構,整合EPP與EDR兩種防護機制,利用雲端優勢,替客戶提供不間斷的安全防護,也能確保系統低延遲存取及可擴展空間。
趨勢科技台灣大型事業處業務協理楊肇謙(左) 、Fortinet資深資安顧問林裕祥(右)

網路攻擊目標廣泛、潛伏期長,端點成攻擊目標

趨勢科技台灣大型事業處業務協理楊肇謙表示,近年來資安事件頻傳,疫情使許多人在家上班,讓駭客有更多管道,進行更多樣性攻擊。
 
整個攻擊趨勢,也從早期以破壞為主,至現在多以勒索為目標,部分產業駭客攻擊的「潛伏期」達三、四年甚至十多年。此外他說,因地緣、政治之故,背後有國家單位資助的國家級駭客,其攻擊數量亦不斷增加。除政府、金融、高科技產業外,傳統產業、醫療、中小企業,如今都成駭客可能下手的目標。

Fortinet資深資安顧問林裕祥說,很多遭駭客攻擊的資安事件,是從釣魚信件開始,端點成為攻擊目標。近年來研究機構MITREATTACK分析每一筆駭客進行的進階持續性滲透(APT)攻擊事件中,90%針對端點,不再像過去攻擊主機,他們利用釣魚信件當誘餌,進入企業內部後再行擴散,「比過去攻擊主機更快。」
 
加密流量也不安全。林裕祥說,根據Google統計,現在幾乎所有的流量都是加密(https),但願意對加密流量進行管理者卻少之又少,駭客看準這點,以https進入企業加以破壞,該種方式,現已遭攻擊者濫用。
 
他說,疫情前遠距工作者約17%,但疫情後,出現近八成遠距工作者,這意味端點的保護愈顯重要。

企業資安人面臨問題:人手不足、警訊過多,無法進行全面分析

楊肇謙說,統計顯示,超過55%以上資安管理人,每天會收到超過一萬件資安警訊,超過50%企業內,有20多種以上資安技術負責偵測,這造成客戶很大困擾,「哪些警訊有用?如何進行關聯,了解全貌?」
 
他說,通常駭客攻擊,要到中、後期才有感覺,但那時恐造成傷害,企業資訊人員不足是常態,資安團隊負擔大,最終他們只能「看到哪,做到哪」。
 
林裕祥也指出,許多企業每年編列資安預算,相關人員進行各家比較、選擇,但是否真正考慮過「所買的產品是否有用?」一旦警訊過多,IT人員是否有足夠人手進行分析、調查?若都無警訊,是否可當作沒事發生?
 
此外,傳統的網路架構、基礎建設和資安往往不同團隊,當「架構限制防護功能」時,防護有時只能妥協。
 
楊肇謙說,企業要提高偵測率,就會出現很多警訊,但又需顧及精準度,這是長期的資安問題。「我們希望收集更多資料,又希望回應快速精準,因此需要大量機制進行運算」。而雲端擁有能對資料進行快速運算的特性,得以提供這些優勢,打造更有效的防護機制。

企業上雲面臨的資安挑戰

楊肇謙說,企業上雲最關注資安,原本的地端架構在上雲的過程中會有過渡期,「混合雲」是較常見的狀況。各公司在此時會建立雲端團隊,但要做到跨雲的同時,又做到資安管理一致,可能會涉及內部治理,國際標準策略等。
 
他說,企業資安單位面臨打造雲資安的挑戰,包括多樣化作業環境,法規議題,相關人員資安意識不足等。另外,現在很多開發程式、環境全程自動化,如何將資安系統融入這些環境下,也是一大難題,而持續變化的功能,也可能造成傳統防禦失效。

此外他說,雲端可能遭受的網路威脅,與傳統地端一樣,但雲端使用的許多原始碼是否有漏洞,或出現管理問題,也是另一個可能面臨的危機之一。
 
林裕祥說,過去的資安保護僅限於企業內部,然如今的雲服務,行動辦公室,IoT等,資安保護邊界定義變得模糊,如何保護這些端點是一大挑戰。
 
他指出,過去的方式是,將用戶連接到企業總部數據中心,總部有著完整的傳統安全保護機制,但隨著雲服務發展,若仍用此方式,用戶將增加不必要的延遲。如何在確保雲資安的同時,也能保持瀏覽體驗優化,也是資安需解決的議題。

EPP、EDR仍不足夠

林裕祥說,傳統EPP解決方案,是著重預防的防毒軟體,但防毒軟體無法有效因應進階威脅。
 
他說,經常有消息指稱,某駭客又用新手法規避防毒軟體,或入侵系統關掉防毒軟體,雖然防毒軟體有高達95%部署率,但仍有一大堆企業遭威脅,最主要原因是,傳統EPP針對已知攻擊進行防護為主,然目前許多攻擊事件,往往耗時數年或更久,若無法及時發現與回應,單靠EPP是不足的。

幾年前,EPP供應商開始增加檢測和響應措施,而目前熱門的EDR,則能針對整個端點,攻擊事件來龍去脈進行分析。
 
楊肇謙指出,EDR著重用戶端偵測,但用戶端有時會有盲點,很多設備也看不到,如企業內老舊設備,離職員工留下來的設備等,都無法做有效管理。他說,電子郵件是防護很重要的閘道口,也是駭客攻擊的主流,企業希望透過網路端,能看到更多看不到的部分,因此EDR雖有必要,但還是不夠。

解決方案

楊肇謙說,做好雲端資安,務實的作法,首先要遵循法規。在進行雲稽核時,一個存取權限改變,就可能與法不符,需不斷針對變化尋求相應法規,同時考量一但法規有所缺失,是否可修補等。
 
針對攻擊防禦部分。他說,好的雲端資安要做到多平台支持,不同品牌的雲端都能獲得同樣的全方位防禦,同時也可自動擴展。


針對開發安全,需考慮開發的過程,如何將資安元素融入開發流程,使用開放碼時,是否可發現其程式碼的語言漏洞或語法缺失,若有弱點可及時矯正,確保執行中有防禦機制。
 
林裕祥也指出,2019年Gartner提出安全存取服務前端(Secure Access Service Edge, SASE)新概念,整合WAN前端和雲端服務下的網路安全模式,符合企業客戶對簡化、擴充性、彈性、低延遲性與普及性的安全需求。
 
到2024年,有40%以上的企業都將採用SASE解決方案,讓網路、資安融為一體,端點不論在哪,都能受到保護。
 
他指出,雲端服務底下的資安架構,會從過去以各區域辦公室為單位,變成單一端點為單位,須做到讓每一端點,都能像在企業內部受同樣保護。
 
在SASE解決方案的架構下,是雲在中間,所有端點都連上有SASE服務的雲端,進入後受到堆疊設備的層層保護,即使一個端點,也一樣可受到與總公司同樣的安全防護。
 
不僅如此,林裕祥說,過去要替所有端點規劃所需的防護設備,如防火牆等,未來這些都不需要,所有端點只需一台可連上有SASE雲服務設備的路由器,即使一個端點,連接上雲後,所有安全防護都能在雲上進行。
 
市面上已有不少針對雲端資安所推出的防護系統,包括趨勢科技的Trend Micro Cloud One和Fortinet的FortiSASE等,不僅確保「多雲平台」都能得到全方位防禦,將雲端防護更自動化與簡化,端點更安全。


相關文章: 「主動防禦」 勢難擋,7個整合性資安解決方案大助益

資安新思維系列報導(二) : 第六期國家資通安全法:佈建「主動防禦」聯網,躍升亞太資安樞紐
資安新思維系列報導(三) : 
金鑰竊取,駭客攻擊的捷徑

 
 聚焦製造業的「雲」&「端」資安問題,就在【2021製造業資安論壇- 新竹】。
  • 時間: 2021年6月10日
  • 地點: 新竹豐邑喜來登大飯店
  • 主題: 由內而外,必要的工控資安管理思維 
  • 3大主題,12場專題演講
  • 活動網頁,GO!