https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

「落實」資安新法防護基準構面的5大關鍵

2021 / 09 / 30
編輯部
「落實」資安新法防護基準構面的5大關鍵
政府機關向來是各種資安威脅覬覦的目標,無論是勒索軟體導致的外洩事件、漏洞造成的資安事件,到近來疫情期間透過釣魚郵件或社交工程手法發動的攻擊,甚至是第三方軟體的供應鏈攻擊,都是公部門要面對的首要資安風險。有鑒於此,最新的「第六期資通安全發展方案」中針對「資通系統防護基準」有更明文的規定,像是存取控制構面、稽核與可歸責性構面、識別與鑑別構面、營運持續計畫構面等,都有列出作法如密碼設置的規定、帳號管理的權限、稽核紀錄的保存、端點偵測及應變機制等實務作法。
 
為協助公部門更加了解最新資安威脅趨勢,資安人於9月16日舉辦線上論壇,以「公部門數位服務的主動防禦」為主題,邀請 Tenable、Thales、A10、Adobe、中芯數據等五家重點廠商分享觀點。本次活動共有超過270位各行業之資管、資安、IT、風險管理人員上線參與,其中155位來自政府單位。

避免勒索或其他惡意軟體透過AD進入到組織

勒索軟體攻擊的嚴重性不言而喻,要防禦此類攻擊,必須先了解其攻擊鏈。  Tenable技術顧問李元勛以Ryuk為例,「第一步通常是帶有附件的網路釣魚信件,可能是假合作廠商或同事的名義,用特製的信件內容,誘使點擊相關連結或下載檔案。駭客一直在進化,現今有MaaS (Malware-as-a-Service)這種一條龍的服務,只要訂閱這種服務,要發送特製的釣魚信件非常容易。一旦使用者點擊了,使用者的電腦被植入後門,運行惡意程式並被停用防毒及EDR系統。第二步進入大規模佈署,在感染電腦下載Trickbot或Emotet工具,可以達成竊取憑證、橫向移動、甚至挖礦等動作。攻擊者在此時作橫向移動,探測AD是否有錯誤設定,而達到權限提升。第三步就是大家很熟知幾千台檔案加密,但駭客不可能一台一台電腦去加密,作法一定是控制AD透過AD的GPO,一次加密。這才有辦法一次做到大規模感染。」
 

AD是目前攻擊的首要目標。所以要有效的保障AD安全,要從四個面向對AD主機定期作:
  • 弱點偵測: 微軟的patch Tuesday定期會更新修補更新。特別注意漏洞被公布後,會隨這時間或駭客的利用程度高低,會有不同的風險等級。Zerologon (CVE-2020-1472)漏洞很早就被公布,但因為只要利用兩行指令就可以作攻擊,只要需要知道AD的IP,無須任何密碼即可進行攻擊,風險等級高。今年另外有一個弱點Printerspoofer(CVE-2021-1675), 一開始沒有被關注,但後來被發現可以遠端執行程式碼,風險等級就被提高了。
     
  • 合規性檢測: 比較偏向系統設定的層面,如密碼設定。可以參考CIS推出的指南,適用於Windows 2019約400 項技術項目。或DISA STIG也可參考。
     
  • 持續發現 AD 錯誤設定,進而達到提權: 針對AD上Kerberoast的通訊協定,發現不安全設定的使用者,攻擊其帳號及電腦。因此要防禦必須確認用戶沒有SPN 的權限、確認一般用戶沒有被賦予特權。一般的用戶是不需要這些權限,作AD設置時,應該是先拿掉,避免駭客利用。 檢查Kerberos 有沒有使用弱式加密方式。特別要注意帳號權限高,但安全保護低的狀況。
     
  • 即時偵測攻擊: 像是DCSync、DCShadow、Golden Ticket、Process Injection都是AD攻擊行為,一般的偵察機制是沒有辦法查出來的。

靜置資料保護策略

資通安全法中,對移動資料有多項要求。至於靜止資料,相關說明是在附表十:資通系統防護基準 ─「資料儲存之安全(Data-at-rest)」: 靜置資訊及相關具保護需求之機密資訊應加密儲存。Thales大中華區資深技術顧問陳昶旭特別提出,「當被加密資料外洩時,依舊還是被視為外洩。」他以GDPR為例,GDPR Article 29 工作小組說,只有當展示出金鑰保密性被完整保護,並且資料是無法被任何不被授權的人員所讀取時,外洩沒有影響到data subject(資料本身),才不需要通知data subject(資料所有權者)。
 
資料治理是考慮國家安全的首要問題之一。陳昶旭表示,私有雲是目前公部門選擇資料存儲實際上的選擇。他提出6個建議:
  1. 檔案與存儲/虛擬機/資料庫層級的加密以及權責分離的金鑰管理是必要的
  2. 根據資料分類,應用資料保護
  3. 存取機敏資料時,透過MFA身分驗證加強存取控管
  4. 再資料存儲以及分享之前,對機敏資料進行代碼化(Tokenize)或匿名化(Anonymize)
  5. 把你最重要的機密(CA/PKI根憑證金鑰、私密金鑰)存放於HSM
  6. 在Cloud/SaaS上使用最高等級的安全性並實踐HYOK和BYOK 
隨著IT越來越複雜,為了墊高攻擊者的難度,不同的IT系統有各自的安全佈署,而造成複雜的安全控制佈署增加了成本及風險,尤其是各系統的金鑰散佈在各處。如何透過聰明地花費安全資金來改善安全狀況?從加密技術來看,其實做法很多。但比較建議從檔案系統層作為起始點,就可以做到一定的保護。

目前資料儲存之安全主要透過資料庫透明加密方案,共有三種:
  • 資料庫原生加密TDE
  • 資料庫原生加密TDE +主金鑰分開管理
  • Thales CipherTrust Transparent Encryption (CTE): 從檔案層級開始作,加上存取控管,也就是說只有允許的使用者才能看到明文的檔案資料,即使駭客提權自己到特權使用者,進到資料庫,他也不能看到解密後(明文)的資料。這種「白名單」的機制對勒索軟體也有一些效果。CTE可分辨處理程序(Process)或使用者在進行存取,檔案存取政策可以設定的非常細緻。可以透過應用程式、被允許的操作、時間、檔案或資源控制使用者的存取。 
如果使用者想要進一步作資料庫欄位加密,常見的技巧有三:
  • 遮罩: 把部分敏感資料利用其他字元直接遮蓋
    • 優點:處理速度快,能保有部份資料辨識性
    • 缺點:無單一辨識能力,無法回復原始資料
  • 加密: 把敏感資料利用金鑰以及數學運算打亂
    • 優點:資料隱密性高
    • 缺點:密文完全無法辨識
  • 代碼化: 把敏感資料替換成另一串無關連的字串
    • 優點:安全性高,能保持資料單一性,能保有部份資料辨識性
    • 缺點:依照不同技術,處理速度可能會較前兩項技術慢 
除了無須修改資料庫資料表或檔案內格式,利用代碼化(Tokenization)進行欄位資料保護的優勢還有:
  • 不需要原始資料的應用程式,無需進行修改
  • 僅使用代碼(Token)的系統可從合規的稽核中移除,例如PCI DSS、HIPAA
  • 只有驗證過的使用者或系統可以存取資料明文
陳昶旭建議佈署的步驟,「第一階段使用透明加密將資料庫加密,並加上存取控管,設立白名單。第二階段利用代碼化,去識別化針對敏感資料保護。」 

加密流量威脅

目前94%的網路流量是加密的,但是45%的網路攻擊是在隱藏在加密通道裡面,無法被檢查,導致資安事件層出不窮。針對此,A10提出SSLi解決方案,Client端欲對外存取Internet,過去是與遠端伺服器交換憑證,現在改與A10設備交換,透過A10 設備解密後,交由現有資安設備以明碼方式審核檢視是否有資安威脅,確認安全無虞時再由A10 設備加密送出,反之亦然。
 
A10 Networks 台灣區技術總監陳志緯說:「資安設備都可以執行『解密>檢查>重新加密』的程序,但是通常佈署一套完整的資安方案不可能只有一個設備,NGFW(新世代防火牆)、IPS入侵偵測、APT進階持續性威脅偵測…,如果每個資安設備均要反覆加解密檢查程序,結果將大量折耗企業網路效能與增加網路延遲。」
 
然而,不是internet上所有加密流量都可以解開, Certificate Pinning 與 CAC Authentication無法解。陳志緯解釋,典型的例子Certificate Pinning是application,如 Twitter, Skype, Window 更新之類,SSLi 針對它們有一個預定義的列表,可以設定SSLi-Bypass。CAC Authentication則用於自然人憑證、網路銀行數位簽章,僅當特定的遠程服務器 (Specified remote server,SNI) 請求 CAC 時,它才會繞過 SSLi。
 
此外,某些地區的法規是要求不允許解開加密流量,以保障使用端機敏資料的隱私權,如HIPAA, PHI, PCI/DSS等。A10已經作好分類,網管人員只要拉進去,就可以直接使用設定bypass. 陳志緯舉例,「有公部門需求外對內提供Server Farm服務加解密,且內對外提供辦公區User Area 流量加解密,但要維持現有架構,並提供URL Filtering,且只要從一、二個部門開始作,漸進式流量導入,這些都是SSLi可以做到的。」

數位文書流程的要素: 電子簽署

數位化文書流程已經被應用在許多行業,無紙化、高效率、省時的優勢,龐大組織的簽署,過程涵蓋了內、外單位,上下不同層級,非常耗時。Adobe原廠委任技術顧問曹聖庚說:「與傳統紙本內部簽署工作比較,電子簽署可以大幅縮短至1天半的時間就可以完成。」
 
曹聖庚解釋電子簽名與數位簽名是不同的,其中的差別在於簽名法律和法規要求內容。數位簽名是大類別「電子簽名」的子集。傳統電子簽名使用各種方式驗證簽署者,如電子郵件、企業ID或電話驗證,但數位簽名只使用一種特定方式-簽署者會使用憑證是數位ID驗證身分,而這個ID通常由可靠第三方憑證授權單位簽發。
 
此外,曹聖庚提醒,數位簽名系統也需考慮到文件系統及雲端平台,尤其文件有上雲需求的情況。「政府單位如果有使用Microsoft 365, One Drive, Teams…數位簽署系統要能夠與之整合,直接插件使用。」

資安新法之端點回應

資安新法裡面提到被核定的A級和B級公務機關一年內,完成資安弱點通報機制導入作業;二年內完成端點偵測機制導入作業。就內文來說,「端點偵測與應變機制,指具備對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現功能之防護作業。」

中芯數據技術經理孫維嶸提醒,「這項目重點應該放在 『異常活動行為分析』,這牽扯兩問題: 一個是行為、一個是分析。」要先記錄到資料,才看得到行為。分析由誰分析、分析的準確度,這都是資安新法的重大影響。他說,「如果沒有搞清楚,不但加重資安人員的工作負擔,更無法提高資安防護的能量。」
 
目前大家關注的勒索軟體,孫維嶸也以日本電玩開發商卡普空為例,提出釐清:「真正的問題是勒索病毒還是駭客攻擊?卡普空『被盜走1TB資料』、『駭客利用電腦合法工具PowerShell 竊取帳號』,以合法工具掩飾非法攻擊,這不是單純的勒索病毒,而是駭客攻擊行為。」剖析駭客攻擊的重點有二:
  • 駭客如何在單位內部找到重要的主機?他怎麼知道哪一台?
  • 駭客如何從中偷取真正重要的檔案?他怎麼知道檔案在哪裡? 
孫維嶸點出,APT攻擊鍊的中間三步: 放入後門、收集資訊並提權、橫向擴散,正是解決勒索攻擊的重點。「當未知的惡意程式進來時,『檔不住』才是往往讓單位損失最大的惡意行為。駭客入侵時會建立後門,並使惡意程式於每次開機皆能啟動。放入後門後,有收集資訊跟提權的動作,駭客透過工具竊取設備密碼。不是暴力破解、彩虹表的方式,這些太容易被發現。現在是MitM(Man-in-the middle)的方式,只要登入過的帳密就可以直接被提取出來。並利用竊取的帳號密碼,橫向擴散至其他設備,提取資料。」
 

事前的防禦靠情資,情資是惡意程式於其他單位發現後,調查出來的結果。但在這過程,我們可以發現APT攻擊事件處理是完全沒有情資的。孫維嶸描述,「駭客通常會放3~4支後門,事件處理時如果不知道那些設備有問題,要如何確保能找到它們。分析時,有把握找到那些後門嗎?鑑識時,可以找得到源頭嗎?如果沒有,也難保駭客下次用同樣的途徑進來。」
 
端點管理需要有四個關鍵:
  • 看:
    系統要能記錄惡意程式的行為,且灰色程式的也得收集,避免未知的惡意程式有所行動時,無法進行分析。
  • 人:
    需要有充足的人力及技術能量,可以將所有的告警都分析完畢,避免系統有發現異常,但單位沒有發現。
  • 快:
    能在未知惡意程式有所行為時,能立即行分析,不用再收集其他的資料,即可掌握一切狀況,避免有漏網之魚。
  • 做:
    能精準定位惡意程式位置,並且高效率進行清除,而非需要一台一台請人員到場進行處理,以降低單位損害

但是費時費力、調查不全是實務上端點管理的通病,即便告警提供了,也無法進一步分析哪些是惡意程式或者量過多,需要耗費長時間調查、產生報告。意圖威脅即時鑑識服務(IPaaS)可以做到一次到位的處理,孫維嶸說:「從收到IPaaS告警信件、確認告警內容,是否有疑問需要了解、以雲端服務進行遠端一鍵清除作業、針對攻擊的來龍去脈說明由IPaaS產出事件報告,不需要1小時即可完成。」
 
歡迎收看:9/16資安⼈線上論壇 線上回放
 
  • 2:50    如何遏阻勒索軟體透過 AD 散播
               by Tenable 技術顧問 李元勛 Richard Li
     
  • 36:50  淺談資通安全管理法之靜置資料保護策略
                by Thales 大中華區資深技術顧問 陳昶旭
     
  • 01:14:15  新型態加密流量威脅
                     by A10 Networks 台灣區技術總監 陳志緯
     
  • 01:43:50  建構合約高效數位化的安全堡壘
                     by Adobe 原廠委任技術顧問 曹聖庚
     
  • 02:17:52  資安新法之端點回應你搞懂了嗎?
                     by 中芯數據 技術經理 孫維嶸

    若想聯繫上述廠商,請EMAIL 資安人!