觀點

2013 資安展會後報導系列1~~個資法與資安攻擊 驅動資料保護需求成長

2013 / 05 / 08
編輯部
2013 資安展會後報導系列1~~個資法與資安攻擊  驅動資料保護需求成長

近月來世界各國頻頻傳出資安攻擊事件、加上新版個資法已於去(2012)年10月正式上路,連帶提升台灣企業對資料保護的重視程度,這樣的趨勢也反應在2013亞太資安論壇上,從議程表來看,與個資法、攻擊、資料保護有關的議題,占了近6成左右,顯見資料保護已成為資安重要課題。以下將從APT與DDoS攻擊、個資管理與盤點、資料保護解決方案三個面向,介紹本屆資安展的精采內容。

焦點1、早被鎖定的APT和DDoS攻擊

APT和DDoS都是近來企業所重視的安全議題之一,兩者一個在明,一個在暗,但相同的是都會對目標企業造成巨大的危害,而成為企業IT人員值得注意的威脅。

APT精彩個案剖析

APT攻擊在今年依然受到企業關注,不過與去年不同的是今年有不少廠商都已提出相關解決方案,再加上3月南韓才剛爆發DarkSeoul的大規模APT事件,使得本屆與APT有關的研討會議程幾乎場場爆滿、座無虛席。FireEye技術經理劉俊雄更直接表示,台灣有八成副總級以上的企業高層曾遭到APT攻擊,聽到如此驚人的數字,聽眾有的第一個反應就是如何分辨自己是否遭到APT攻擊?

當然以往我們在談到APT時,都會對其手法特徵做一些描述,像是透過社交工程郵件、針對特定目標所進行的持續性攻擊等。但隨著各家防範APT的產品不斷推出,我們相信未來APT的攻擊手法勢必會有所轉變,APT不一定是利用社交郵件或0day攻擊,只是目前看來這兩個管道最常被利用,所以劉俊雄認為:「成功的攻擊就是APT。」

而趨勢科技技術顧問黃源慶則和與會者分享了一個IR(Incident Response)服務團隊所處理到的精彩個案。受害單位的IT採委外管理,使用者電腦向來也沒出現什麼異常,直到後來有人反應早上開啟郵件時發現有些郵件都被標示成已讀取,再加上出現某些被刪除的AD帳號莫名「復活」的現象,這時駐點IT人員才驚覺不妙!

經由IR Team的調查發現,駭客手法是先選定目標,假借上級指導單位的名義發送mail給下級所屬會計單位的人員,當該員開啟附件檔案後即利用漏洞攻擊以安裝惡意程式到該電腦上,然後回報到中繼站並開始接受連線控制,再來駭客會想辦法提升自己的權限以逐步接近重要目標,例如:故意讓使用者電腦操作不順,趁駐點IT人員維修輸入管理者帳密時取得更高階的使用權限,一旦拿到AD管理者權限後就等於宣告進入全面控制的階段。

阿碼科技黃耀文創辦人黃耀文指出,目前國外APT攻擊有一個趨勢是,大量利用合法網址,駭客不再偽冒釣魚網站,而是觀察攻擊目標喜歡瀏覽哪些網站,再去入侵那些合法網站,然後等待攻擊目標上鈎。因此,阿碼引進proofpoint郵件解決方案,提供偵測(分析mail是否為正常郵件)、防護(判斷郵件中的網址是否正常)、攔截(惡意程式分析、阻擋惡意行為)、與回報(提供惡意網址點擊報告)4種機制,降低使用者不小心點下社交郵件中惡意網址的風險。



動態沙盒檢測與靜態比對

針對APT的防禦機制,主要還是從分辨已知、未知及如何迅速的將未知變為已知這三方面來著手。

已知就是以靜態偵測方式進行惡意郵件或文件的比對,不過和傳統防毒引擎有些不同的地方在於,它不是只靠現有的病毒樣本製作成特徵碼進行比對,它還會參考弱點漏洞、檔案結構、特殊編碼等多種資訊來進行判斷,好處是準確性高且速度較快,像趨勢IMSVA與FireEye產品中都有這類靜態比對的機制。

但這種方式對未知的攻擊威脅在辨識上會有困難,因此針對未知威脅則會採用沙盒(sandbox)檢測,就是在虛擬機中摸擬執行開啟這些可疑的檔案文件,然後監控系統是否有遭受攻擊的跡象或是有對外的異常網路連線行為。FireEye北亞區技術經理林秉忠談到,沙盒檢測技術的核心在於如何去判斷發掘這些惡意攻擊的行為,另外像有些APT的郵件附檔僅會在特定平台或應用程式版本中才會被觸發,因此,支援平台與應用程式的多寡和執行效能的好壞,都是採用沙盒檢測時需要注意的地方。

另外像數位資安所代理的Bit9 Parity Suite產品則是透過應用程式白名單,以正面表列的方式來管控員工電腦上所能執行的程式,並阻擋APT郵件附檔中惡意程式被觸發啟動,同時監控像登錄檔等重要檔案的變動與確保系統完整性,以免遭到漏洞攻擊,像這類方式也可歸類為未知攻擊的防禦。

將未知威脅轉成已知

但不管採用哪種防禦方式,相信沒有一家廠商敢說自己能完全地偵測出未知APT攻擊,所以如何在最短時間內將未知攻擊變成已知,就成為另一個重點所在。因為APT攻擊在成功入侵目標對象的系統後,接著便會與外部中繼站溝通,接受指令繼續攻擊其他電腦以擴大戰果,或是開始對外傳送機密資料,而這些異常動作都可能被企業內網監控系統所發現,因而揪出這些惡意程式,再將惡意行為分析結果送到資料庫中成為已知的攻擊,並即時把新的資訊送到閘道設備進行有效攔阻,也就是達到縱深防禦的效果。例如McAfee就是透過Real time ePO plug-in的P2P架構或是SIEM來進行設備的整合和即時狀態的感知回應。

而黃源慶則是強調,處理APT事件就像刑事案件的現場鑑識一樣,需同時具備程式撰寫、封包分析、作業系統、數位鑑識與事件處理等多項技能,因此趨勢科技也有推出IR Team的APT服務,針對企業環境從事前偵測、事中處理到事後評估的一連串流程提供客製化服務。

DDoS攻擊時有所聞

同樣在3月底,歐洲反垃圾郵件組織Spamhaus也遭遇到史上最大規模每秒300G的DDoS攻擊,影響所及,全球網路都因此變慢。而因為全球Botnet網路的盛行,再加上DDoS工具下載管道眾多,使得近來企業網路遭DDoS攻擊癱瘓的事件時有所聞,而且因為攻擊門檻降低,連中小企業都可能成為DDoS攻擊的目標。

目前,DDoS的攻擊可分為針對網路流量頻寬或伺服器資源進行消耗的兩種類型,不同攻擊手法所採用的防禦策略也不同,如果是利用網路應用程式弱點所發動的應用層攻擊,企業的網路安全閘道就需要具備可以看到第七層的封包解析能力,因此F5 Networks的安全設備便強調其對網路第七層的可視度(visiability),與高效能的網路封包處理速度,以應付DDoS巨大流量攻擊。

但DDoS攻擊在到達企業網路閘道前必先經過ISP業者的骨幹,中華電信新資安技術測試與研發負責人吳明峰就提到,中華電信平均每天都發生2,400多次的DDoS攻擊,因此像華電信也有提供防DDoS的加值服務,將DDoS的有害流量直接從中華電信的骨幹網路中過濾,達到阻絕境外的效果。另外像Nexusguard則是有所謂流量清洗服務,將企業網路流量先送到清洗中心過濾後再傳送到企業網路中,而對於預算有限的中小企業也有ClearDDoS Token的計次清洗服務。

Nexusguard資安研究員謝輝輝談到,不管是APT或DDoS攻擊都呈現有組織、計畫性與針對性的共同特點,所以未來企業可能愈來愈難以透過單一產品來抵禦面臨到的攻擊威脅,需要更專業的資安服務,而這也正是謝輝輝在談到事件處理原則時要強調「遇到問題,先找專家」的原因。


焦點2、個資遵法第一步 聚焦個資管理與盤點

自從個資法及施行細則上路後,各個主管機關也開始有所作為,目前已知有金管會、NCC通傳會及經濟部工業局等目的事業主管機關,對轄下產業正式發函做出要求,要求項目包括成立組織、專人負責、進行個資盤點與制定管理作業程序等,其中金管會檢查局更已進行查核並開出缺失,因此目前許多銀行已經積極進行個資盤點等作業。除了法條頒布外,在法務部、經濟部工業局網站上,也已看到個資法程序書、指引手冊、自我檢視表格等相關資源可以免費下載,降低遵循法規的成本負擔。

一般來說,個資保護工作包括:個資聲明、個資盤點(事前)、個資保護(事中)、個資稽核(事後),其中最基本的工作,多數企業也已完成的就是個資聲明,不知如何準備的企業可在中華民國資料保護協會網站(http://www.cdpa.org.tw/privacy_announcement.html)上,利用「個資聲明產生器」,自動產生個資法宣告文字。

個資盤點

在個資聲明之後,個資管理與盤點則是法遵工作的開始。目前個資盤點分為人工與系統兩種方式,市場上也有針對個資盤點而開發的系統,另外像DAM、DLP類的解決方案,通常也具備個資盤點功能。鈊保資訊總經理邱志傑認為,個資盤點是持續性工作,不是做一次就好,因此企業可透過主網站、資料庫、內部PC等三種個資檢測工具設定排程,自動產生個資掃描結果報告,供負責人員檢視並採取因應。

中華數位企業資料保護研究小組專案顧問吳毅勛則建議,企業在進行個資盤點時,第一次應用人工盤點,實際去訪談並分析企業內部個資業務流程,後續可再用盤點工具來輔助,避免一開始就用工具掃出大量個資,卻不知這些個資是如何產生。個資顧問鍾榮翰則認為,個資盤點重點在於準確率要高,企業能快速得到報表,並且知道掃出個資後如何進行下一步,也就是就地加密或者集中控管。

個資管理制度

由於個資法第十八條與第二十七條明文規定,公務與非公務機關應採行適當安全維護措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏等,許多企業紛紛參考國際標準如BS 10012或台灣TPIPAS建置個人資料管理系統(PIMS),希望未來發生事件時,能夠以此證明無故意或過失責任。

SGS個資解決方案產品經理何星翰指出,並非所有組織都有能力建置管理系統並驗證,透過個資法規遵循性查核(Privacy Compliance Audit, PCA)是另外一種選擇。企業在完成個資盤點後,可進行初次PCA查核,再根據稽核報表結果建置個資管理流程,經過一段時間的Plan、Do、Check、Action後,再次進行正式PCA並得到個資法規遵循性查核報告。

不過,企業導入個資管理系統PIMS之後,並非可以因此一勞永逸,以為用PIMS來消弭/控制風險,其實只是人為上的假安全,因為制定出來的個資管理規範文件與企業實際狀況可能會有落差,原因是導入的範圍與深度以及企業內外環境的變動而導致,因此,承弘國際提倡PIMS DashBoard作為縮短假安全狀態的措施。

PIMS DashBoard可因應變動的環境與循環,讓原本導入PIMS時收納大量資訊與人力密集的作業模式轉而以工具來進行重複工作,利用工具並可減少人為失誤與怠惰,可確實讓個資保護工作持續PDCA。

吳毅勛提醒企業在進行個資作業管理規範書時,必須依照作業流程程序來進行,以企業內部人資管理流程為例,從履歷表蒐集、面試程序、人才資料庫建置、正式錄用時簽署的同意書,到人員離職時的相關作業等,都須建立規範文件,並搭配報表進行稽核。

企業內部個資容易管理,若是B2C行業的客戶資料處理,則須注意個資特定目的、蒐集程序合法與告知、會員取消退出時的處理等,吳毅勛建議,在推動個資保護工作中,人員教育訓練最重要,先透過個資講座的舉辦,建立內部共識,管理制度才容易逐步推動。

在眾多個資保護解決方案中,安資捷資安顧問陳勇君提出最具成本效益的個資保護作法,他提出個資訴訟方程式:不當揭漏×識別類個資×行為類個資=侵害當事人權益。企業須要讓等式左邊其中一項等於零,才能避免訴訟成立,而最佳成本效益的作法,就是讓識別類個資等於零,因此企業可透過動態資料遮罩工具,避免非授權或授權過多使用者看到真實完整的個資。

隨著主管機關提出更多更具體的規範,不只是大型企業,更多中小企業已開始推動個資保護工作,也有企業主從中南部遠道而來參加資安展,而在今年資安展也看到更多適合中小企業導入的個資管理產品或服務,個資保護不是只有大型企業才需要重視,企業必須從個資盤點、建立個資制度到持續維運PDCA,處處展現積極作為,日後才能證明自身已善盡管理責任。


LM/SIEM與數位鑑識

個資法要求企業要留存記錄,讓LM/SIEM解決方案市場需求成長,而SIEM可說是LM的延伸,除了留存Log還具備分析運算能力,可以即時預警資安事件,也因此,SIEM比較偏向MIS在使用的工具,對高階主管或稽核人員這種沒有IT背景的使用者來說,不容易操作,而中華數位代理的日本A-Log,當初是因應日本個資法而設計,以事件記錄(Event Log)為主,只收取重要的檔案或DB Server的存取記錄,與傳統LM或SIEM同時收納Syslog(系統日誌)與Event Log的作法不同,中華數位日本事業本部林世強表示,A-Log好處是不用安裝Agent、可以轉換/分析/搜尋、對環境影響比較小,在操作介面上也比較簡單。

Log留存其實還有另外一個目的,就是因應日後的舉證與數位鑑識需求,勤業眾信副總經理萬幼筠表示,Log留存是數位鑑識很重要的事前工作,有了Log才能還原事件真相,關於Log留存年限,萬幼筠認為除了特殊規範外,一般來說Log留存5年即已足夠。

另外,萬幼筠也提醒企業在舉證前必須先問清楚訴訟目的,以前幾年發生民眾在資源回收廠發現一箱信用卡資料為例,此時,企業是要控告民眾故意至回收廠蒐集個資?或是委外廠商沒有做好管理責任?訴訟目的不同,所要蒐集的證據也就不一樣。

焦點3、個資與機密資料保護解決方案

就個資或機密資料保護來說,包括DLP、加解密(包括檔案/資料庫加密)、DAM、LM/SIEM、特權管理、郵件稽核…等,都是詢問度比較高的解決方案,其中,DLP、DAM、LM…等是許多企業最先進行評估的工具,近期有大型金控完成DLP採購的專案,而某位來參觀資安展的User也說:「其實企業對DAM的需求一直存在,只是過往受限於預算而未導入,如今個資法上路只是加快企業導入的速度,」顯見資料保護類解決方案備受關注。

吳毅勛認為預算有限的企業,會加強在既有的資安設備來進行資料保護,如結合電子郵件或網路設備識別郵件有無個資、過濾或阻擋郵件、通知主管、留紀錄等,有預算者會考慮採用主動防護的系統,如加密或DLP,但重點是不影響員工作業流程。

DLP與加密解決方案

DLP除了賽門鐡克、Websnese等外商解決方案外,中華電信資通安全研究所亦自行研發具備資產管理、資源管理功能的資安監控管理系統以及DLP系統,目前的應用實例即中華電信內部數萬台電腦,由於以中小企業為目標客群,導入成本自然較國外解決方案低,當然功能也不完全相同。目前只提供Endpoint版本,預計今年第3季推出Gateway版,中華電信研究員楊文君表示,除了因應個資法外,解決員工趁離職時帶走機密資料的困擾,是促使中小企業導入DLP的另外一個原因。

本土自行研發的騰泰科技則強調在機密資料的端點保護上,可支援60幾種檔案格式,包括AutoCAD、Pro E等設計圖檔,也已可支援Windows 8作業系統,其透明加解密技術,不改變使用者習慣,可防止員工有意無意的外洩行為,同時強調其本土即時支援,可支援企業特殊EIP、ERP或客製設計圖的加密。除了防止員工資料外洩,騰泰也考量到許多資料外洩事件與外部合作廠商、供應商有關,因此將加密技術延伸發展成線上檔案權限管理系統,透過檔案分享平台,將對外傳遞的檔案進行加密,並控管存取/修改等權限。

而由資拓宏宇代理的Vormetric資料庫加密解決方案則強調,可同時保護結構與非結構的資料,且金鑰管理已整合在其中,不需額外購置,此外其可支援Linux、 Unix、Windows等跨平台作業系統,也格外受到參觀者關注。

防範個資外洩 不能漏掉紙本個資

個資法規範範圍包含紙本個資,因此,紙本資料管理與防護與電子資料一樣重要,Canon台灣佳能認為,企業容易造成紙本資料外洩的情況是,當使用者電腦按下列印後,走到事務機前取回文件的中間空檔,因此許多企業開始利用公司識別證做為身分辨識,必須在事務機前感應識別證才能取回自己列印的文件,以強化安控。此外,在個資法通過後,有些銀行也開始重視紙本資料的安全稽核,每次不管是列印或影印,事務機都會複製一份影像(低解析度不耗儲存空間)作為備存,以備不時不需。

 

DAM

庫柏總經理林俊仁表示,如果企業是因為個資法而導入DAM,在評估解決方案時必須特別注意以下2點,第一、能否正確記錄存取者的身份;第二、是否具備資料變更的行為監控能力。

先就第一點來看,資料庫存取者分成AP與人,當有人透過AP來存取資料,一般DAM只會知道目前是哪一隻AP來存取DB的資料,卻不知道是誰正在使用這隻AP、執行了哪些SQL指令。解決這個問題的方法有3種,(1)由DAM廠商提供API,由使用者自行修改程式,但是撰寫AP的人若是委外廠商或已經離職,企業要修改程式並不容易;(2)導入WAF,透過WAF將AP使用者的ID代入資料庫中,惟必須額外投入WAF採購成本;(3)建立SQL-Web之間的Pattern,透過pattern去分辨AP執行了哪些SQL指出,惟並非100%準確、可能有誤差。

目前庫柏作法是第3種,結合HTTP Connection Linkage與SQL Execution Identification,透過統計運算模式找出SQL與Web間的關聯、再去定義Pattern,同時內建自主學習機制,降低誤差發生的可能性。

再來談資料變更的行為監控,林俊仁強調,個資法有規範惡意竄改的刑事責任,所以記錄留存很重要,企業必須同時留存資料變更前與後的資料,未來倘若有爭議才能釐清責任歸屬。目前庫柏以抓取存在於記憶體中的Transaction Log(交易日誌檔)方式,來記錄變更前與後的資料,不過每家資料庫的格式不同,產品支援能力有限,目前庫柏可以解析的資料庫有informix、Oracle和SQL Server。

同樣屬於DAM解決方案,精誠資訊代理的Chakra則更強調資料庫保護的概念,精誠資訊產品經理于子欣提出DAP(Database Audit and Protection)一詞,意指Chakra除了DAM基本功能外,還具有DB防火牆、資料庫動態遮罩功能,以資料庫防火牆功能來看,企業可以限制只有使用什麼樣的DB工具才能存取Table,或是限制哪些DBA可以存取Table。

此外還有資料庫加密、資料庫作業流程管理、資料庫弱點評估3個模組,于子欣表示,資料庫作業流程管理其實非常重要,簡單來說,就是針對DB下的SQL指令定義出一個WorkFlow,不是DBA想下什麼指令就可以執行,有些可能要經過主管同意才能執行,藉此避免DBA監守自盜的風險。

特權管理

自2012年以來,台灣資安市場上陸續出現特權管理類解決方案,CA技術顧問王清鑑認為,導入特權管理解決方案的好處是:存取透明度、帳號有責任性,因為企業可以明確掌握現在是誰在使用特權帳號、那個使用者做了哪些事,而使用者在系統監控下,自然也就不敢濫用特權。

目前,CA的PUPM與力悅資訊的Cyber-Ark特權管理產品皆具備以下3種功能:
(1)自動檢索工具Auto Discovery,可以掃描系統中所有2到7層的power user帳號,再根據需求看哪些要交由特權管理系統來管;
(2)支援單一登入SSO或OTP模式,使用者可先登入特權管理系統,再導至其他系統,或者是將特權管理系統所產生的隨機密碼當成OTP,再離線登入系統;
(3)全程錄影與Log留存,遇到爭議或資安事件時,可即時調閱追查問題源頭。

王清鑑指出,前述AP與DB身份識別的問題,也可以用特權產品來解決,除了利用API去修改程式外,也可以選擇Plug-in方式,當AP要去執行SQL指令時就把它擋下,並導致特權管理系統,以使用者自己的身份索取密碼後,再連到資料庫。力悅資訊業務經理彭國達則建議企業,導入特權管理產品必須思考以下3個問題,需要什麼樣的密碼管理政策?特權帳號在哪裡?要套用什麼樣的工作流程?如此才能得到符合稽核需求的報表。

郵件稽核

綠色運算業務副總陳兆寧指出,綠色運算能夠彈性的提供各種rule,以快速符合稽核所需,例如RD部門主管想要找出寄到外部web mail信箱且附件經過壓縮加密的信件,而Openfind則強調個資判讀能力,Openfind產品經理林家正表示,Openfind採用內容感知技術,透過多層次過濾方式,降低個資誤判的機率,例如在辨識電話號碼時,就會一併考量呈現格式(如前面不一定有區碼)、不同地區電話號碼的位數(如金門只有5位數)。

林家正認為,郵件稽核有2種意義,在事件發生前做到立即性阻擋,當系統偵測到違規事件時,立即通報到管理者,由管理者人工審核與決定處理方式,在平時則是檢視組織有多少郵件含有個資,由此Check作業流程是否合理,舉例來說,RD部門在徵才時,多半由HR將面試者履歷寄送給RD主管,導致RD主管的電腦內含有許多個資,也許就可調整為HR只提供紙本資料且要收回,避免個資四處散落。

在上述解決方案中,LM/SIEM、DAM、特權管理、郵件稽核等都具備稽核功能,企業應該透過這些稽核工具定期找出潛藏風險,才能落實個資管理PDCA循環的精神。

 

相關文章:

資安服務納入共同供應契約 12月底前技服釋出SOC監控

2大個資外洩案例 看企業該如何舉證

電子商務:個資保護、防詐騙是未來焦點

2013 資安展會後報導系列2~~雲端/行動新興應用 創造新的資安需求