曹乙帆當前各種進階威脅莫不沖著資料而來,如何進一步強化傳統安全防禦機制以杜絕資料外洩的風險,已經成為當前企業安全防護上的最大挑戰與考驗。企業必須建立能有效掌握並阻斷網路威脅殺傷鏈與進階威脅生命週期不同攻擊階段行為,同時支援事前預測分析能力的智慧型縱深防禦安全機制。
本文目錄
引用巨量資料分析技術 強化資料外洩風險管理
根據 Verizon 2012 年《資料外洩調查報告》指出,當前網路攻擊成功速度分別以秒、分、時、日、週、月、年來計算的話,其中有高達 43% 的網路攻擊之成功入侵速度是以秒計算,有高達 38% 的入侵攻擊到成功滲透能在 60 分鐘內完成。反觀企業回應的速度實在相形見絀甚多,從滲透到發動調查,多達 39% 的企業要花數月的時間才能辦到。更進一步的,有高達 38% 的企業必須以週為單位來完成從調查到封鎖的作業。
由此可見網路攻擊的頻率與次數逐漸增加,在缺乏監控機制的環境下,攻擊者擁有無限次的機會突破防禦,但僅僅一次成功就能造成企業一定程度的傷害。對此,勤業眾信總經理萬幼筠表示,在當前網路環境下,我們無法完全避免所有的網路攻擊,但卻可以透過風險管理導向的資安治理,盡可能地降低攻擊所帶來的衝擊與影響。
但所謂「凡走過必留下痕跡」,任何資料竊取事件都有跡可尋。萬幼筠分析指出:「當前企業資料竊取事件包括四大組成要素:竊取人員、使用工具、洩漏內容及洩漏途徑或方式。四大要素都會留下可供分析的稽證。」針對竊取人員,可以透過系統日誌、檔案擁有者、異動及可疑檔案進行分析來找出竊密者。透過可疑程式與暫存檔分析、惡意程式掃描便可了解攻擊者使用了哪些工具。藉由關鍵字來對資料檔案進行分析,便能了解可能洩漏的內容為何。通過實際訪談,以及系統與軟體日誌分析作業便能挖掘出洩漏的可能途徑與方式。
面對日益猖獗的各類型網路威脅,企業必須要有持續不斷地推動資料安全與保護的完備規劃,就廣度而言,不外 5 大重點,亦即資訊分級與宣導、管理機制建立、資料保護管理證據留存、資訊外洩通報與應變,以及異常行為分析與預警。就深度而言,每個重點還可以往下細分不同進階的措施。例如在管理機制方面,可以分別建立企業資訊保護組織、企業資訊保密機制,以及競業禁止與企業舉報等機制。在異常行為分析預警上,還可分為資訊保護納入企業風險管理架構 (ERM),以及資料保護關鍵指標 (KPI) 納入企業績效體系等措施。
再者,透過巨量資料分析技術,來強化過往的資料外洩舞弊管理已成為當前網安發展上的一大重點與方向。萬幼筠表示,透過豐富的數據運算,支援不同層級的分析能力,並為舞弊行為提供全新觀點。為了確保資料分析成功與可擴展性,甚至將其視之為企業營運的一部分,便需要有更廣泛和更具戰略意義的解決方案。目前勤業眾信已發展出一套完備的舞弊風險分析方案,可快速將舞弊風險快速的傳遞給監管單位,使監管單位可以在舞弊偵防的工作上創造新的價值。
面對資安與資料保護課題,必須從遊戲規則開始著手,亦即共同打造虛擬世界法規調適交流平台,而 CyberSpace 就會成為法律上的第五領域。目前虛擬世界法規調適,大致分成五大構面:基礎環境、透明治理、智慧生活、網路經濟與智慧國土,其下推動項目則包括資通訊環境整備、政府資料開放、數位教育、創新產及智慧防災等諸多項目。
當前國內針對資訊安全推動的策略與具體做法,不外擴大公私協同合作、推升智慧商務安全、落實人才訓用合一、強化網路犯罪執法與健全資安法令標準。其中,在公私協作上的具體作法包括研議企業與民間情資交換安全標準,並與國內外各領域電腦網路危機處理中心 (CERT) 建立資訊共享系統或平台。在商務安全上,則可以盤點資安自主技術,發展優先項目,並且可發展民眾有感智慧商務 App 。至於人才訓用上,主要會研擬由課程、平台、競賽、實習及產學合作等五大主軸,來擴大資安人才的培育。針對資安法令,目前正積極研議我國資安作用法並推動立法。
在架構上,必須建立完善於資安情報蒐集、監控、偵測及回應的安全架構,進一步而言亦即要涵蓋治理、管理、作業及調查等層面的規劃及設計。萬幼筠同時提醒指出,資料竊取事件發生時,就該思考後續爭訟的可能性,所以必須做好前置作業、證物識別、證物擷取、證物蒐集、證物封存及證物運送等作業,好為未來訴訟風險的降低做好準備。
以最低總持有成本來解決最複雜的資安問題
隨著 IT 架構日趨複雜,易使得傳統架構更難以保護所有管道,如何做好機敏資料竊取防護 (DTP) 與資料外洩防護 (DLP) 已成當務之急,其中尤以 APT 為首的複雜化第七層資料安全威脅更成為企業安全防護上的一大考驗,因為大部分企業多半缺乏即時感知威脅的能力,而只能在損害造成後才做事後修補。
不僅如此,根據 2013 年 (ISC)2《全球資訊勞動力研究》報告指出,專業資安人員技能落差持續擴大。到了 2017 年,全球至少需要 425 萬以上的資安專業人員,屆時將會有 47% 的人力短缺落差出現。
Websense 台灣區技術經理陳志遠表示,面對上述問題,可以藉由 Websense TRITON APX 解決方案來解決。該方案支援最先進網頁安全防禦技術,可阻止 APT 進階威脅,並防止資料外洩與竊取。同時藉由智能電子郵件安全防禦系統來協助企業防禦 APT 、社交工程、資料外洩等混合型進階威脅。針對資料,則能藉由企業級資料外洩防禦系統,協助企業保護個資與智慧財產,並杜絕駭客惡意竊取機敏資料。 Triton APX 是一套整合 Web 、 Email 、 Data 、 Endpoint 的統一型解決方案,能針對整條威脅殺傷鏈、企業內部、遠端及雲端的資安漏洞,提供完整且優異的保護。
因此,Websense 能透過郵件 APT 、網頁 APT 、資料竊取/外洩防護、郵件安全、 HTTP/HTTPS 網頁安全等安全技術,來為企業快速建立整體防護能力的完整縱深防禦機制。陳志遠進一步表示,透過 Websense 縱深防禦機制,可以方便配置靈活彈性的安全解決方案,因應快速變化的攻擊技術及威脅,進而建立彈性安全;建立資料防護邊界,保護重要資訊,避免資料在企業內部、雲端或行動裝置中遭到竊取,讓防護無所不在;在整個威脅的生命週期中提供實用的網路威脅情資,有效彌補網安技術的不足,並提高安全 IQ 。
根據 Gartner 研究指出,企業安全長若能了解並掌握網路威脅殺傷鏈 (Cyber Kill Chain),便能下達能提升整體安全防禦狀態並具實務效益的決策,進而有效抵禦進階威脅。陳志遠分析補充,當前網路威脅殺傷鏈大致分成七大階段:偵測、誘餌、惡意導向、利用弱點、植入檔案、回報、竊取檔案。 Websense 能協助企業徹底掌握每個階段,提供遠比同業更佳的偵測與阻擋率。
Websense 2015 年威脅報告指出,該公司在 2014 年觀察到可疑電子郵件比例竟然高達 81%,比起前年多了 25%,其中有 28% 的惡意電子郵件,即使防毒軟體最新特徵碼也無法辨識,然而 Websense 卻能精準偵測並阻擋。同時該報告並指出,2014 年除了可疑郵件增加 25% 外,惡意檔案數量卻降低了 77%,回報行為增加 93%,使用弱點攻擊工具降低 98%,惡意導向趨勢不變,反應出駭客攻擊手法不斷變化,所以如何有效掌握網路威脅殺傷鏈每階段的狀況非常重要,否則只會面臨被惡意滲透的命運。
Websense 提供領先業界的資料竊取行為偵測技術,該技術能有效偵測駭客滲透入侵竊取行為,包括支援客製化犯罪加密檔案、密碼檔案外洩竊取、持續性小量傳送機敏檔案與異常時間傳送機密等偵測技術。另外針對可疑的內部行為,舉凡將機密寄送至外部信箱或競爭者、散佈密碼或批次外洩機密等行為皆能立即偵測。 Websense 更支援先進內容與情境感知技術,透過該技術能了解是誰在搞鬼、什麼遭竊、在哪裡搞鬼、如何竊取並外送,然後再對症下藥地加以回應並行動。
此外,Websense TRITON APX 進階防護最吸睛之處,莫過於可以最低總持有成本來解決最複雜的資安問題。同時該公司藉由業界領先技術與最精簡架構,可以實現防禦策略的可執行性。過去企業為了滿足上網行為管理、網路防毒、使用者驗證、 SSL 解密、社交工程、反垃圾郵件、 DLP 及 APT 等需求,往往會因為不同需求就有個別防護方案的情形,如此疊床架屋的安全架構難免會有架構複雜、偵測困難、效能不佳、高延遲、資訊無法串聯及管理不易等問題,Websense 可協助客戶有效回應郵件與 Web 上的各種安全需求與威脅挑戰,為兼具成本、效能與降低管理負擔的整合型縱深防禦安全方案。
結合機器學習與威脅智慧 打造智慧預測分析協同防禦方案
Websense 北亞區技術總監莊添發一針見血地指出,長久以來面對邊界安全議題,絕大多數的企業都將安全防禦的重心放在阻止或偵測網路或設備中的安全威脅上。反觀企業花在使用者行為與資料保護上的投資則不成比例,此現象反應出大部分公司對於使用者與資料行為的了解不足與防護能力的不成熟。
事實上,資料才是明日無所不在的企業邊界所在。當前進階威脅能步步為營地成功入侵、滲透、潛伏企業內部的關鍵手法就是威脅殺傷鏈,但入侵與潛伏並非攻擊者的目的,敏感性資料的竊取才是威脅殺傷鏈的最終目標。
莊添發引述美國零售巨頭 Target 遭到 APT 攻擊的案例指出,事實上 Target 並非一般的零售商,因為其內部光資訊安全團隊成員便超過 300 名,並且耗費 160 萬美元在某沙盒技術供應商主導的惡意偵測專案上,但為什麼最後仍終究破功而導致巨量用戶資料的外洩呢?簡單而言,就是只有大量的惡意程式警告,卻沒有能夠關聯殺傷鏈各階段的資訊,進而提供精準的智能判斷與可行動的建議。
換句話說,為了因應進階威脅,企業必須從原本以防禦、偵測及回應為主之基礎設施式的安全預防機制,進一步演化成為包含防禦、智慧、可見度、回應與預測能力之業務流程導向與基於資料風險的自動化安全預測機制。
莊添發表示,結合資產導向的機器學習與攻擊導向的威脅智慧,能夠實現事前的預測性分析。 Websense ThreatSeeker Intelligence Cloud 全球智能網路威脅情資便是一個兼具機器學習與威脅智慧進而實現事前預測式分析的獨家技術 。透過巨量資料技術,ThreatSeeker Intelligence Cloud 全球智能網路威脅情資會搜索數位世界中的各種威脅,彙集超過 9 億個端點,並且每日分析多達 50 億個網頁請求,堪稱是當前全球最大資訊安全智慧網路。
2014 年由 ThreatSeeker Intelligence Cloud 全球智能網路威脅情資,在網頁端總偵測惡意活動總計 39.6 億次,其中 Botnet 連線高達 21.3 億次。在郵件管道上,偵測到的惡意郵件附檔,其中高達 28% 是當前所有防毒軟體所無法偵測到,2014 年總共掃描了 650 億封郵件,共封鎖了 527 億封惡意郵件。至於完成的安全更新總數達 9150 萬,平均每秒有 2.9 個更新,掃描到的惡意程式總數達到 1,368 萬隻。 2015 年 Miercom 效能驗證曾對 8 家安全方案商進行進階無特徵碼威脅的即時測與封鎖有效性的測試評比,結果 Websense 以 97.37% 有效性獲得第一,其成績遠遠超過第二名 Blue Coat 的 46.58%,評比為全球第一的真實世界威脅防護廠商。
Websense 的機器學習功能應用在惡意程式的連線偵測,能有效偵測惡意通訊。應用在資料保護,也能分辨機密或非機密資料。舉例說明,Websense 便曾透過機器學習,讓系統學習周杰倫歷年十張專輯的所有歌詞,之後系統不但能夠在眾多不同歌手的專輯中辨識出周杰倫的歌曲也能偵測出新發行的專輯歌詞。這即是說明,Websense 的機器學習功能可成功辨別機敏資料與非敏感性資料,這是傳統安全方案所難以企及的地方。傳統郵件與 Web 閘道並無法有效阻擋資料竊取與洩漏,透過 Websense 的技術便能有效阻止有心內賊將資料寄到外部信箱,或阻斷惡意程式通訊、加密檔案與未知格式檔之傳送動作。
針對內部威脅,Websense 藉由劫持指標、資料風險指標、以及可疑使用者行為,等規則描述來提供行為式分析策略。莊添發指出,在當前充滿變動的年代中,Websense 可協助企業營運有效防範資料竊取,進而持續創新與成長。
總而言之,以 APT 為首的第七層資料安全威脅已成為當前企業安全防護上最複雜難解的一大考驗。對此,企業除了必須藉由巨量資料分析技術來強化事後稽核與法規遵循外,透過 Websense Triton APX 全面性防護與 ThreatSeeker Intelligence Cloud 全球智能網路威脅情資,便能成功以最低總持有成本來根絕 APT 等最複雜的資安威脅,同時實現事前預測分析,以有效杜絕未知攻擊的侵害。