[會後報導] 卡巴斯基揭開未來安全攻防新領域 威脅情報成為安全方案關鍵靈魂

全球資訊安全領導者卡巴斯基實驗室與網路資訊雜誌合作,於2016年12月29日,假台北市寒舍艾麗酒店 5F 楓柏廳,舉辦「2017卡巴斯基新世代網路安全威脅研討會」,邀請卡巴斯基GREAT資安團隊的安全專家,介紹各領域的資安解決方案,並探討未來面臨的威脅環境與攻擊趨勢,協助台灣企業抵禦網路黑暗時代的資安新威脅。

從Duqu 2.0感染伊核六方會談、烏克蘭遭BlackEnergy入侵而停電,全球數萬個政府和企業伺服器被擺在xDedic地下黑市叫賣,還有台灣ATM盜領與遊戲商遭DDoS勒索等事件,已成全球用戶的資安夢靨。光是去年亞太地區的APT攻擊就造成9.5億美元的損失,還導致孟加拉中央銀行總裁下台。

全球資訊安全領導者卡巴斯基實驗室與網路資訊雜誌合作,於2016年12月29日,假台北市寒舍艾麗酒店 5F 楓柏廳,舉辦「2017卡巴斯基新世代網路安全威脅研討會」,邀請卡巴斯基GREAT資安團隊的安全專家,介紹各領域的資安解決方案,並探討未來面臨的威脅環境與攻擊趨勢,協助台灣企業抵禦網路黑暗時代的資安新威脅。

身處網路的黑暗時代 你我自保的清晰認知

卡巴斯基實驗室大中華區董事總經理鄭啟良

論壇一開始由網路安全資歷二十年,投入卡巴斯基工作五年的卡巴斯基實驗室大中華區董事總經理鄭啟良先生以「資訊技術的黑暗時代」為議題上台致詞。他指出卡巴斯基從2016下半年,在中國大陸20個城市,香港、台灣與東南亞舉辦一系列網路安全的研討會,特別是這一場在台灣,希望能帶給各位不一樣的東西。

每天新增的惡意軟體高達31萬筆

據卡巴斯基實驗室資料庫的資料,1986~2006長達20年累積約一百萬個惡意軟體,同時從2013到2015年,曾遭受攻擊的用戶佔比從56、57%增加到62%。卡巴斯基實驗室每天分析超過30萬個惡意軟體,且所有作業系統都在遭受攻擊,光Windows就多達3.84億個惡意軟體,Android也有1,800萬,Mac OS、Linux與iOS也有3萬、2.5萬與600個。

儘管和Windows相比,非主流陣營的作業系統遭到攻擊的遠低於主流作業系統,但也遠超過前幾年所遭遇到的攻擊量。

網路犯罪是嚴重的全球問題,已造成全球每年四到五千億美元損失。而針對銀行自動櫃員機(ATM)攻擊的CARBANAK手法,從2014、2015年俄國與烏克蘭ATM強制吐鈔事件,在台灣也有銀行受害。去年(2016)2月孟加拉中央銀行8,100萬美元,到印尼、南美洲小國家銀行遭受類似突破SWIFT漏洞的手法被轉匯盜領,這類攻擊層出不窮,並無國界之分。2011年卡巴斯基在歐洲就發現類似手法,並與荷蘭警方聯手防禦。

你想像不到的控制系統,如今也被駭客盯上了!

過去總認為惡意軟體或APT是攻擊Windows桌機或Android手機系統,但從2011年起,針對如捷運、機場、水廠、發電廠等工業基礎設施的SCADA(Supervisory Control And Data Acquisition)工業控制系統攻擊事件層出不窮。在資安研討會上的模擬,一個大學生僅需三小時,就可將烏克蘭的電廠設施弄到癱瘓。去年六月香港碼頭也曾發生兩次將貨櫃車舉起的意外,哥倫比亞販毒集團控制海關碼頭舉重機查驗時,略過藏有古柯鹼毒品的貨櫃。

自2007年愛沙尼亞、2010年伊朗STUXENT蠕蟲、2011沙烏地阿拉伯石油公司、2014年德國鋼鐵廠、2015年烏克蘭電力公司到2016年美國、德國醫院等,都曾遭受過恐怖份子的攻擊。台灣會不會遭受恐怖份子的攻擊,我們並不清楚,但我們必須預先防範,任何可能來自網路對工業基礎設施的攻擊威脅。

鄭啟良總結我們身處於網路黑暗時代,從小至個人級別的智慧設備、網路與社群帳號,到大規模級別的智慧家庭、聯網汽車、線上商店、ISP網路服務商與通訊基地台,到關鍵性/國家級安全設施如電網、交通網路、金融機構、網際網路設施等,都應該涵蓋在保護網內。網路安全是一個發生在你我周遭的重要課題,你我應該積極去了解,才能知己知彼。

對卡巴斯基來說,保護世界的安全需要關注更多的領域。

面對現在與未來的威脅

接著由鄭啟良代亞太總監Vitaly以「現在與未來的威脅趨勢」為題做第二場演說。他提到創辦人Eugene Kaspersky於2008年創立GReAT(Global Research and Analysis Team)的全球研究分析團隊,嚴格篩選全球45位網路資安專家入列,聚焦於進階持續性威脅(Advanced Persistent Threat, APT)、組織性攻擊、銀行威脅與複雜多目標攻擊手法,持續研究與鑽營防堵策略。

今年,卡巴斯基推出眾多新產品與新計畫,遠超過先前數年。

從2010年Stuxent,2011年的Duqu,2012年的Flame到2016年Project Sauron、ScarCruft、Lazarus、xDedic、Dropping Elephant等,全球超過一半以上的APT攻擊手法由卡巴斯基實驗室所獨家發現並率先揭露;同時也與國際刑警組織合作,從數位採證、教育訓練到調查上的支援與協助。

新加坡政府已經開始重視公共建設的資訊安全

鄭啟良揭露一張由卡巴斯基實驗室製作的全球勒索軟體(Ransomware)分佈圖。當前勒索軟體猖獗的原因,在於黑市網站以很便宜的價格銷售整個套件。2016年光在亞太地區,勒索軟體案件數從第一季32,594件爆增到第三季8月的45,842件。卡巴斯基正與香港警方進行一項長期性合作,要破獲香港關於勒索軟體攻擊事件的犯罪源頭;同時在全球成立一個不以營利為目的、防範勒索軟體的聯盟(nomoreransom.org),只要用戶貢獻一些問題與解答,就能成為聯盟會員並免費獲得勒索軟體的解藥。

卡巴斯基在全球成立一個不以營利為目的、防範勒索軟體的聯盟(nomoreransom.org),只要用戶貢獻一些問題與解答,就能成為聯盟會員並免費獲得勒索軟體的解藥。

網路犯罪行為越來越成熟。XDEDIC就是一種藉由掃描全球有漏洞的伺服器,植入木馬成為BoT殭屍網路的攻擊手法。到2016年5月全球共有7萬台伺服器被入侵、擺到駭客黑市上去賣,光在台灣就有1,236部伺服器被入侵,其中有些單位的硬體設備還相當高檔。

入侵金融業界的伺服器已成為地下駭客的經濟來源

有組織的犯罪集團,利用像GCMAN釣魚信件(Phishing Email)夾帶木馬的文件檔,讓一群銀行機構的人都中毒,接者潛伏一段時間判斷誰主管錢財,利用匯出轉帳時,同步在背景作業並每分鐘匯款200美元;還有利用跨行ATM反覆交易、取消交易並同時不斷吐鈔的METEL手法,以及攔截匯款中間過程的Carbanak手法。越來越多網路攻擊跳過銀行體系,直接鎖定ATM開發商。卡巴斯基就發現某ATM大廠的自動更新檔內被植入木馬程式。光2016年全球銀行被APT攻擊而損失的金額高達9.5億美元,光孟加拉央銀就損失8,100萬美元,土耳其銀行也宣稱損失400萬美元。

2015年12月23日烏克蘭三家能源供應公司被駭,30個變電站停止運作,23萬戶停電6小時,且過了兩個月還未完全復原。

對關鍵工業設施的攻擊,從2019~2015年統計針對工業控制系統攻擊事件逐年增加,光2014、15年就達到245、295件。2015年12月23日烏克蘭三家能源供應公司被駭,30個變電站停止運作,23萬戶停電6小時,且過了兩個月還未完全復原。卡巴斯基稍早(2015年10月)曾在網路安全論壇中,來模擬如何將工業控制系統的電源迴路弄癱瘓,一群大學生只花3小時就辦到了。

2015、2016年揭露Tropic Trooper這種針對台灣政府與石化工業攻擊的APT手法被揭露。還有像Winnti、WhiteWhale、Dropping Elephant、Lazarus、Evilpost、Scarcruft等,都是針對台灣某些IT設施、伺服器疏於做漏洞補丁更新的攻擊手法。卡巴斯基在2016年就對台灣提供91件公司、政府單位的非公開的APT報告,從入侵手法、受害名單、工控系統漏洞分析都有詳述。

鄭啟良最後引用亞太總監Vitaly對2017年預測做總結:針對性與被動植入的攻擊事件會越來越多,攻擊駐留時間越來越短,網路間諜活動越來越行動化、針對網路關鍵節點(Internet of bricks)進行攻擊,資訊戰爭越來越活躍,非報酬性的義務、理想型駭客越來越多,同時亞太地區會有更多ATM惡意軟體與攻擊事件。

網路資安的攻防智勝策略

卡巴斯基實驗室臺灣技術總監謝長軒

第三場由卡巴斯基實驗室臺灣技術總監謝長軒先生,以「攻防智勝-卡巴斯基非端點解決方案」為議題做演說。他提到卡巴斯基每天觀察到每天增加31萬個端點病毒/惡意軟體/漏洞,可能是針對性攻擊以及惡意軟體活動,協力廠商軟體的漏洞,勒索軟體的急劇增長,行動設備的惡意軟體呈現指數型增長,以及針對Mac作業系統的威脅增長。網路威脅的金字塔分佈圖中,約90%屬於追求利益的傳統網路犯罪,9.9%則是針對特定組織的定向攻擊,僅0.1%歸類在APT進階持續性攻擊,像是網路武器之類的手法。

卡巴斯基的企業安全解決方案,提供基於企業系統的整體防護措施,從終點安全、Anti-APT、資料中心安全、虛擬化安全、ATM&POS、儲存安全、行動化安全、情報服務與工控安全等特色。

網路安全威脅已侵入每個行業領域,從公共組織到私人企業,從政府到教育機構,因此卡巴斯基的企業安全解決方案,提供基於企業系統的整體防護措施,從終點安全、Anti-APT、資料中心安全、虛擬化安全、ATM&POS、儲存安全、行動化安全、情報服務與工控安全等特色。以多種探針、偵測零日威脅、蠕蟲攻擊、智慧檢測、雲安全防護與基於特徵庫的檢測等種種技術,提供企業多層次的防護,用以抵禦已知、未知與APT威脅。

卡巴斯基的工控安全解決方案架構,以反病毒、中央控管、完整性控制、IPS、事件記錄與方案整合等技術,結合建置初期由資安專家深入廠內觀察與訪談的專家服務,以及提供培訓與情報的服務所建構而成。

一般工控系統關注焦點在於可用性、完整性與保密性,而在ANSI/ISA-95企業防護模型中,工業控制系統如SCADA,迥異於既有企業的Windows桌機、筆電或平板/手機環境,有些是RS-232、485與PLC的控制。

卡巴斯基的工控安全解決方案架構,以反病毒、中央控管、完整性控制、IPS、事件記錄與方案整合等技術,結合建置初期由資安專家深入廠內觀察與訪談的專家服務,以及提供培訓與情報的服務所建構而成。像卡巴斯基提出的KICS For Nodes技術,可以整合並應用於ICS/SCADA設備的HMI人機介面上,提供預設阻止的白名單機制、漏洞評估、設備控制、PLC完整性監控;KICS For Networks可於法務調查、監控與事件檢測工具上,提供網路異常流量檢測、對具潛在威脅的控制命令與網路完整性進行檢測。

謝長軒提到當前ATM/POS系統普遍僅256MB,以行動數據機進行低頻寬連接,對網際網路連接、各家不同POS中介軟體僅部份限制甚至毫無限制,且仍以欠缺安全性的Windows XP為作業系統。惡意軟體對ATM攻擊的典型案例,從調研與資訊蒐集、開發針對性的惡意程式碼,繞過物理安全手段獲得USB與CD的存取權,並繞過WinXP安全機制,直接修改硬體設置並透過中介軟體操作,最後清空ATM的現鈔盒。

卡巴斯基ATM&POS嵌入式系統安全防護方案,採取預設阻止的白名單安全機制,滿足256MB低記憶體容量、無須更新的低頻寬需求,也無須連接網際網路;針對可執行檔、DLL、驅動層的掃描,以及Hash、簽名與行為校驗,同時對繞過卡巴斯基安全網路的白名單應用程式進行二次校驗。

卡巴斯基與VMware合作,直接支援原生VMware環境並整合NSX平台架構,提供所有VM與進階網路防護功能且不影響執行效率;另一個輕代理防護(Light Agent)的專利技術,能搭配VMware、CITRIX、Microsoft與KVM各種支援VDI虛擬桌面的Hypervisor環境上,在每個VM虛擬機配置一個防毒系統,僅佔用極輕量的系統資源。卡巴斯基也能偵測到某特定電腦對特定資料夾進行加密,類似勒索軟體行為時,即時加以防堵。

謝長軒指出資訊安全是一個涵蓋風險&安全認知、風險評估、計畫、執行、支援&更新的完整流程,而不僅是單一產品項目。而APT攻擊趨勢將朝向限定對象的針對式攻擊,不再是一次性攻擊行為,而是一個持續的程序;具有幾個月甚至幾年不被察覺的高隱藏性。APT解決途徑在於預知、阻止、檢測與回應。

卡巴斯基的Anti-APT解決方案KATA,提供網路感測器(接收和處理網路鏡像資料流量、HTTP、FTP、DNS協定的物件與中繼資料)、包含3個獨立虛擬作業系統的沙箱系統,Web/Mail感測器連接代理/郵件伺服器、支援HTTP、FTP協定並收集ICAP、POP3等資料;端點感測器蒐集終端層的運行程式、活動中的網路連接與發生改變的文件等威脅資料。

您堅實的資安後盾提供情報制敵機先

威脅情報是安全防禦的靈魂

研討會末場由卡巴斯基實驗室臺灣銷售總監黃茂勳先生,以「卡巴斯基的安全情報服務」為議題。他提到兩年前卡巴斯基成立台灣區分公司,在地深耕並面對客戶。卡巴斯基所提供的智能安全情報,來自於全世界各地GreAT團隊的分析,以及各國資安/警政單位的合作,將全球資安大數據做彙整;APT報告藉由總部統籌全球GreAT團隊的分析與研究資源,可依不同國家/地區、不同產業提供威脅報告。這威脅報告不僅提供受害名單、可能威脅途徑,也提供處置措施。

黃茂勳舉例2015年球各地國家無論軍方或企業,就曾向卡巴斯基調用來自北韓的APT/威脅報告,了解如何透過第三者或第三地跳島攻擊南韓的途徑、IP名單與手法。卡巴斯基安全情報服務,還提供IT員工技術培訓(包含對惡意軟體的逆向工程分析技術)、終端用戶的安全、威脅數據訂閱、殭屍網路追蹤、威脅綜合報告、事件調查、滲透測試與應用安全評估等服務項目。

黃茂勳最後總結,卡巴斯基在各資安媒體/機構的獨立評測中,獲得60項第一、11項第二,許多IT大廠選擇跟卡巴斯基合作。其產品線不光是防毒軟體而已,還有前面介紹過的各種資安威脅與防護解決方案。他強調卡巴斯基原廠已在台灣設點,歡迎客戶跟台灣分公司聯絡,必要時會請總部調遣人力支援。其次卡巴斯基不僅提供產品與解決方案,還提供專業的技術服務,例如將蒐集未知病毒、惡意軟體或新型態APT攻擊手法培訓並轉移到企業,將數據導流、放到卡巴斯基的內部去分析、研究。最後對於工控部份,卡巴斯基對各家PLC做調研,協助客戶建置並提昇SCADA工控系統的防護性。

卡巴斯基實驗室臺灣銷售總監黃茂勳

智取迎擊黑暗馭領未來光明

資安威脅目標已不再是個人,還包含大企業、政府、金融、電信、電商與其它產業,就封閉的工控網路也難以倖免。面對APT與針對性、組織性攻擊手法的的不斷演化,台灣企業必須正視掌握最新網路資安威脅,不能寄望只靠單一產品或資安解決方案,而是從心態、企業運作流程上去調整、去面對;選擇引領全球防毒、資安與APT防堵攻擊的廠商產品,跨國際性的產官學合作,分享全球資安漏洞與APT即時情資,才是這個動態不斷的網路黑暗時代下,台灣企業「攻防智勝,馭領未來」的唯一契機!

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416