https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

網路攻擊與防範新技術(上集) - SANS發表第六版重點資安控制項目指引

2017 / 01 / 04
林皇興/ CISSP
網路攻擊與防範新技術(上集) - SANS發表第六版重點資安控制項目指引

國際資安組織 SANS (System Administration, Networking and Security)最近發布了新的第六版重點資安控制項目指引(CIS, Critical Security Controls),用以提供各企業、組織對於資安管理上的參考。

鑒於當前駭客入侵、資料保護、APT進階持續性攻擊、勒索軟體、個資保護等議題持續發燒,因此各企業、組織都意識到需要在預算與人力有限的情況下,有效的加強資訊安全。所以針對當今的各種威脅現狀,如果能夠有一份最新、較完整的資安控制項目參考資料,對於自己組織的資安管理與防護策略規劃應該有所幫助。

本文將針對這個新的CIS重點資安控制項目指引第六版內,所定義的二十個控制項目進行摘要說明,以作為管理上的參考。

CSC 1: 盤點已授權與未經授權的設備

積極的管理任何接入組織網路的硬體設備是控制資安事件發生的基礎工作。這邊指的管理包含盤點、追蹤以及導正任何接入組織網路的裝置,需要確保獲得授權的裝置可以合理使用單位的網路,而未獲授權的裝置應該被阻擋。

IT人員目前最大的挑戰是,由於資訊科技持續演進,越來越多高階主管,甚至員工都會要求自帶自有的設備(BYOD, bring your own device),包含手機、比電、各種行動裝置等,希望接入公司網路並存取企業的資源。但是卻有可能因此引來新的威脅。

指引中提出了六個子控制項,涵蓋了是否自動化的進行盤點,是否有DHCP來進行動態IP派發,能否從其中得知未知裝置,盤點的資料所涵蓋的資訊多廣,是否有類似如 802.1x的存取控制,最嚴謹的是採用端點憑證來驗證身分等。並據此規畫管理程序與相關管理工具。

CSC 2: 盤點已授權與未經授權的軟體

有效管理(盤點、追蹤以及導正)任何於內部網路中存在的軟體,確保只有獲得授權的軟體可以備安裝與執行,更積極的是可以預防未經授權的軟體被安裝或執行。

目前IT管理人員遇到較大的挑戰是,一旦開放內部人員可以自由的使用網路、收發電子郵件,除了容易從網路上下載各種程式自己安裝、執行之外,更有很高的機會連到惡意的網站、收到載有惡意程式的文件附件。這些攻擊有些是亂槍打鳥的攻擊,有些是針對式攻擊,其共通特性是利用瀏覽器、其他軟體或作業系統的未修補漏洞,因此這類先進的攻擊是連防毒軟體都難以偵測與阻擋。甚至利用的是軟體的原廠都尚未知道的漏洞,因此市面上也還沒推出可以修補的軟體。因此如果無法掌握內部有哪些軟體與系統需要使用的話,就更難去對這些軟體與系統進行修補的管理。

指引中提出了四個子控制項,涵蓋了是否有進行軟體資產盤點,了解哪個端點存在那些軟體;是否有更積極的採用軟體白名單的機制,讓僅獲得授權的軟體才能備安裝與執行;對於一些重要的、高度敏感的業務作業,是否有透過實體隔離的系統來作業。

CSC 3: 主機、端點與行動裝置的硬體與軟體的安全設定

由於大部分的系統在設計上都是以方便佈署或符合大眾易用的需求為主要考量。因此預設的設定經常不是安全上的最佳實務。建議組織需要評估並決定如何對所有的伺服器、端點、筆電,甚至手機、平板等行動裝置進行分別的安全性設定規範與落實。以降低因為不安全的設定所衍生出來的漏洞與風險。

指引中提示了六個子項目,針對系統的底層之作業系統,以及其上面所安裝的軟體如何建立標準的安裝映像檔,透過一系列的安全強化設定,以確保內部所安裝的系統是安全且是透過信任來源所安裝的。

比較特別的是指引的3.5有提到採用檔案完整性檢查工具,針對系統重要的執行檔案,包含作業系統核心、應用程式執行檔、動態連結程式庫(DLL)、設定檔等進行例行性的檢查,確保沒有被故意竄改。最後建議導入自動化的組態管理工具,以完善資安的治理。

CSC 4: 持續弱點檢測與消弭

由於惡意程式大多利用系統的弱點才能滲透成功,因此需時時關注系統的弱點揭露資訊,並且設法在有修補程式發布時即進行弱點的修補,以降低攻擊者可以利用的防疫空窗期。

指引中建議可以導入自動化的弱點掃描與評估管理工具,可以利用工具中提供的風險評分功能,針對風險較高又是比較重要的系統資產,進行更優先的修補工作。必要時可以訂閱專業的弱點情報服務,甚至佈署自動化的弱點派送、修補機制,以降低管理負擔。

CSC 5: 針對特權的管理帳號進行控制

藉由適當管理程序或工具,以針對特權帳號的使用進行追蹤、管制、預防、矯正。由於攻擊者經常利用提升權限或特權帳號的手段,因此假設使用者平常的操作都是以本機最高管理者的權限在執行時,當不小心訪問有毒的網站,或者是開啟有惡意程式的郵件附件時,則惡意程式自然以使用者執行的同等最高管理權限執行,此時帶來的危害可想而知。

指引中建議避免日常以最高管理者權限操作系統,而只有特殊需要時才提升權限操作。並且需要對特權管理帳號進行盤點,確保有需要用特權帳號的場合時,是經過資深人員所授權的,需要避免特權帳號的誤用與濫用。當網路內有佈署任何新的系統、設備,務必修改其管理密碼,避免用出廠預設值。重要的系統,有需要進行管理權限登入時,可以考慮多因素的強化身分認證,結合智慧卡、憑證、OTP、生物特徵等,避免僅依賴帳號密碼就可以登入操作。

CSC 6: 針對稽核紀錄做到維護、監控、分析

藉由集中收集、管理與分析各個系統的稽核記錄(Audit Logs)之事件,得以有效的識別攻擊、了解攻擊,甚至從攻擊中恢復。值得注意的是,指引的第一點即提醒所有的電腦需要設定時間校正,這是讓記錄可以有效分析的基礎。然後規劃所有的系統都要設定開啟正確的稽核紀錄,並且傳送到集中的位置正規化後進行保存與分析。最後考慮透過SIEM的導入,讓這些記錄進行自動化的關聯,以分析出精確的資安事件,再針對事件進行處理。

CSC 7: 保護 Email 與 Web 瀏覽器

攻擊者經常藉由社交工程技巧,引誘使用者連到指定的網頁或開啟具有惡意程式的附件。故指引的第一點建議應當僅允許獲得許可的瀏覽器與郵件程式得以被安裝與使用。第二點建議將沒有需要的外掛移除。第三點是針對不會用到的執行功能,如ActiveX進行關閉。也需要考慮將所有的URL訪問進行記錄,以便發生事件時可以進行調查。

CSC 8: 惡意程式防禦

透過縱深防禦的架構,針對惡意程式的安裝、執行、擴散得以被偵測與防禦。然而,目前的惡意程式多設計來避免被偵測。因此如何持續強化端點防禦,如防毒軟體、端點防火牆、Host IPS等機制,以便讓惡意程式無法遁形。指引中8.5提到建議於網路端,實施非傳統特徵比對方式來過濾惡意程式的下載。並於8.6建議於DNS端開啟記錄功能,讓查詢已知C2 中繼站的行為得以被記錄,以得知哪個端點已經中了惡意程式後門與木馬。

CSC 9: 針對網路端限制並控制可用的埠號、協定與服務

持續的管理(追蹤、控制以及導正)可以使用的埠號、協定與服務,可以有效的降低攻擊表面。即使主機存在未修補的漏洞,但這些服務如果沒有機會被攻擊者直接接觸到,也是一種防禦方法。因此指引中第一點即建議在各系統上只開啟必要的埠號、協定與服務。第二點建議實施主機端的防火牆,並且預設阻擋任何連線的建立,在逐條開啟必要的規則。第三點建議針對重要的主機定期實施自動化的Port Scan,有任何未經授權的變更,應當能主動警示與通知。最後建議對外服務的主機可以建置應用層的防火牆,確保未經授權的流量與服務可以被阻擋。

參考資料網址: https://www.sans.org/critical-security-controls

敬請期待網路攻擊與防範新技術(下集)