今(2014)年亞太資安論壇以「顛覆資安」為主題,主要是過去的資安防禦策略在面臨目前先進的APT、不斷變化的DDoS等攻擊時已不再那樣有效,企業必須要能理解被APT攻擊在所難免,不需要費力尋找能百分百完全抵禦的解決方案,而是應建立起能盡速發現問題的偵測機制,並將內部重要機密資料做好保護與稽核監控。
以下針對三天資安展APT攻擊防禦與資料保護兩大主軸相關場次做精華回顧。
APT方案大對決—考驗沙箱與巨量分析能力 今年論壇毫無疑問APT是最熱門的話題,許多場次都與APT攻擊防禦有關,而其中不少講師在談論APT時,都以去(2013)年底美國知名連鎖商店
Target外洩1億筆個資的例子做開場白。Target案例值得讓人深思的重點在於他們的資安設備有偵測到問題並發出告警,但相關團隊卻忽視設備的警示最終釀成大禍。因此如何找出真正有用的訊息也成為各家廠商競相展示的重點之一。
談到APT,近期各家資安廠商紛紛推出自家防禦模組,用的也都是沙箱技術,FireEye資深技術顧問林秉忠認為,評估沙箱技術有以下重點,第一,如果是以檔案為基礎的沙箱,在拆開個別檔案分別檢測時很可能都不是惡意,但如果以流程來看,這些檔案串在一起就會出現惡意行為,因此能做到跨流程監控的沙箱才有辦法辨識出APT攻擊行為。第二,許多沙箱用的是 VMware或Citrix等商用的虛擬機器,這樣很容易被駭客發現有VM存在,因此就不發作。第三、目前的APT解決方案當使用者收到可疑的電子郵件會把附檔隔離在沙箱裡,但不可能永遠放在裡面,因此駭客會設定一段時間不發作,如20分鐘,等20分鐘後郵件被釋放出來才開始活動,就規避掉沙箱的檢查。此外,在企業用戶端所使用的軟體有各種版本,如Office 2007或2010,沙箱是否能完整檢查常用軟體所有版本,也都是企業在評估時應注意的重點。
Lastline資深安全技術顧問諶沛傑表示,Lastline可自動分析惡意程式,Lastline的沙箱會去監測CPU指令,可以觀察到惡意程式在做哪些事情以提高偵測率。同時可分析惡意中繼站包括IP與網域名稱,並建立pattern。此外,並內建關聯分析功能,可協助分析巨量日誌,以提供企業整理歸納後的威脅報告。
Check Point技術總監陳廣融也指出,Check Point會挑出可疑的未知檔案放在沙箱中開啟,監看檔案系統是否被新增、是否有registry被開啟、開通訊埠對外連線或系統程序被植入其他服務等,若確定為惡意檔案就在安全閘道中直接擋掉,並透過Threat Cloud分享防禦資料給其他用戶。
台灣思科資料中心與無邊界網路事業部業務開發經理郭旭傑指出,在攻擊前企業應能發現藏在環境中的威脅,在攻擊中去偵測並防禦,攻擊後則是去分析事故影響範圍,企業許多現有的防禦措施在這三階段都各自分開運作,這讓駭客有機可乘。思科SourceFire提出可追溯的安全,即持續不斷的偵測分析惡意程式的行動,做回顧性分析,不因惡意程式的休眠、變型或加密就規避掉檢查。
而BlueCoat面對進階威脅,認為現有解決方案都是各個資安設備各自運作,這樣無法找出為何導致資料外洩的原因。需透過智能的防禦縱深進行佈署,並與第三方資安設備整合,先透過ProxySG安全閘道做第一層過濾,再透過DeepSee資安分析鑑識平台、惡意軟體分析平台來偵測分析穿透特徵碼設備的各種威脅。
隨著法規、鑑識需求的興起,在資安事件發生後企業舉證需求逐漸升高,來自日本的Terilogy在4~5年前自行開發封包擷取平台momentum,相較於知名的開源碼工具Wireshark,Terilogy事業戰略部張君指出,開源碼工具不能保證不掉封包,這樣較無法滿足鑑識舉證的要求。且現今企業每天從各種網通設備產出巨量的封包,如何快速從巨量資料中擷取所需資料也是重點。此外,momentum也與第三方資安設備合作如APT解決方案廠商Lastline,可分析Lastline傳過來的警報資訊。
與封包鑑識廠商新波科技整合的中華龍網總經理劉得民表示,不需要談到APT攻擊,台灣許多中小企業如電子商務網站都存有很多常見安全風險,中華龍網將推出中小企業電子商務專案,免費為電子商務網站做弱點掃描網路健診,並提供專業建議。
中華電信資安監控中心滲透測試團隊負責人施汎勳則從過去滲透測試、弱掃的經驗,指出台灣網頁漏洞前3名是XSS、SQL injection、權限跨越,而作業系統漏洞前3名則是作業系統/第三方軟體版本過舊、弱密碼、使用預設不安全設定,且開發者對參數處理不夠安全都是常見的問題。
場邊觀察
聽了好幾場APT演講,除了聽到Target案例被重複剖析外(去年是不斷提到南韓攻擊事件),得到以下兩點心得:
1. 防禦APT攻擊無法單靠一套工具來因應,除了本身解決方案完整的廠商如趨勢科技、McAfee外,許多廠商都透過彼此聯防來提升解決方案的完整性,例如BlueCoat的DeepSee可以與Cisco (Sourcefire)的IPS整合,將各種log丟到其平台做鑑識;又如Terilogy與Lastline合作等。可見設備的整合度也是將來企業評估APT方案不能忽略之處。
2. 資安設備的巨量分析能力越顯重要。APT攻擊之所以難防就在於它潛伏在系統中,不易被偵測察覺,因此許多廠商也都強調要能看見、識別各種異常。因此除了沙箱分析外,許多廠商都強調其巨量資料的分析能力,能從巨量日誌中快速分析、看出可疑的軌跡。 |
DDoS攻擊手法日趨多元化 在所有資安攻擊中,分散式阻斷攻擊服務(DDoS)可說是最歷久彌新的一種,隨著攻擊成本降低、殭屍網路普及,近年來全球各國發生DDoS攻擊的頻率越來越高,手法也日趨多元化。Akamai資深工程師黃開印表示,早期DDoS攻擊以塞爆網路流量為主,如今則擴大攻擊目標,像是第7層攻擊(即網站)、加密通訊協定(https)、動態網頁(如:銀行設計讓使用者搜尋分行位址的網頁)...等,駭客一直在尋找如何用最省力的方式進行最有效的攻擊。
Juniper資安專家唐達德進一步指出,DDoS攻擊形式從第2層到第7層都有,尤其針對第7層的DDoS攻擊越來越多,如:DNS、HTTP、VoIP...等,且攻擊目標不一定是特定企業,像之前便曾經出現過針對網址結尾是.cn網站的攻擊。經緯資訊(C2 Square)技術長彭勝忠則認為,雖然DDoS攻擊手法多元,但是傳統UDP floods和ICMP floods攻擊仍然是主流,因為這兩個是最容易被製造的。
面對現今多變的DDoS攻擊,Nexusguard研究員苗東毅認為,企業的網路防禦佈署策略上仍舊存在著三大落差,第一、企業有法規遵循的壓力,往往視法規為資安佈署的決策基準,然而駭客卻是根據網站弱點來設計攻擊形式,這種沒有針對攻擊而設計的防禦網,自然無法發揮100%效果;第二、企業往往有個迷思認為駭客應該不知道自身用了那些廠商的資安設備,殊不知駭客會將99%的時間用來搜集資料,然後在關鍵時刻給予致命一擊,而且駭客搜集情資的管道很多,例如:企業徵才需求表上可能寫著需要懂Cisco設備的人,這不就暗指企業目前使用的是Cisco網路設備;第三、企業資安的投資成本增加,成效未必會跟著增加,但駭客只要增加一點點成本,成效就會雙倍成長。
因此,唐達德建議,在防禦上應採取雙向流量檢測機制,也就是同時檢查進來與出去的流量,這麼做的好處是確認企業內部有沒有未偵測出的病毒或惡意程式,並掃描內網找出受害電腦,避免資料持續外洩或造成更大損失。
趨勢科技資深技術專案經理李培寧則指出現在駭客發動殭屍網路的攻擊手法與過去有先不同,殭屍網路不再只用來發送惡意郵件或DDoS攻擊,而會用來採礦。因此企業需要多層次的聯防從閘道端、內部網路、主機端、到用戶端,找到用戶感染源後還要能清得掉殭屍電腦。
保護雲端與行動BYOD 談到雲端服務的資安防禦策略,Palo Alto Networks技術經理藍博彥表示,雲端服務就是資源要隨取即用,包括應用程式或網路資源,而這時資安防護也要即時的跟著移動。因此解決方案必須跟SDN或雲端服務的Infra controller做整合,若有新的服務上線其VM要被保護時,可動態把image佈署下去,再跟controller要是哪些policy,這樣就馬上知道是哪些要被保護。若資安因為VM動態遷移而造成缺口,很可能就會導致攻擊。
隨著BYOD的盛行,許多企業與公務機關面臨的挑戰之一就是越來越多員工透過Line或臉書討論公務,常常一個專案開始就把專案成員拉進討論群組,企業機密資訊、檔案都透過Line與臉書傳遞。互動資通技術長洪鑫泓指出這些軟體的訊息主機都在國外,企業機密訊息無法控管,透過架在企業內部的專屬即時通訊平台,不僅訊息加密也可整合AD,識別員工身分,也可與企業內部郵件系統或企業簽核流程整合,成為兼顧資安的行動推播訊息整合平台。
CA的企業行動管理方案包含MDM, MAM, MCM與MEM,CA資深顧問王清鑑指出各家MDM功能大同小異,而CA的MAM透過App Wrapping技術可針對每支app下不同管理政策,也可提供SDK給企業客製,至於MCM則可做到內容的共享並依權限控管,而Email管理也是保留使用者原本使用的Email app,在第一次使用會下載一個用戶端程式到手機裡做加解密。王清鑑強調CA有完整的企業商用軟體解決方案,行動管理是其中一環,能協助企業與原本架構做更好的整合。
來誼數位科技則分享行動支付市場的狀況,根據研究調查,在中國約7成沒使用行動支付的網民都是因為擔心安全不夠,台灣行動支付業務正要起跑,如何降低風險?行動支付的安全機制現有簡訊OTP、App加憑證、手機貼片憑證…等,但都已被證明不夠安全。未來應是軟體式的安全,應該與風險管理引擎搭配並與設備指紋、地理位置做連結,才能降低使用者對行動支付工具的安全疑慮。
相關文章:
<2014亞太資安論壇展後報導>個資法退燒 資料保護著重內稽內控