編輯部毫無疑問的資安攻擊方式已經愈來愈複雜,卡巴斯基大中華區總經理鄭啟良說。過去的攻擊以個人電腦為主,而今有許多的攻擊是針對 IoT 物聯網設備、 ATM 提款機等,去年卡巴斯基即示範講解了烏克蘭一套工控系統遭受攻擊的實例。
攻擊日益嚴重,但回應上卻是遲鈍的。根據調查,不到 10% 的企業與機構能對威脅即時回應,超過 70% 、 80% 超過一天仍無法回應,安全性堪憂。此外勒索軟體也是近年來的頭痛課題,如去年 5 月的 WannaCry 全球災情,卡巴斯基是唯一未受影響的,卡巴斯基也因此獲得更大的市場肯定。
卡巴斯基在全球 200 多處國區設有辦公室,加上全球 4,000 多名員工有一半為工程師,顯示卡巴斯基擁有卓越的資安技術,而近年來持續在亞太、大中華、台灣市場高速推進,特別是中小企業市場超過 30% 以上增長,相信未來有很大空間可與各位一起努力。
本文目錄
亞太區威脅概況 2018:即將面臨的資安風險
卡巴斯基全球研究與分析團隊亞太區總監 Vitaly Kamluk 以「APT++」為字題開場,意味著進階持續性滲透攻擊 (Advanced Persistent Threat) 的再升級。 Vitaly Kamluk 逐一解說近期資安威脅的多宗知名案例,首先是北韓駭客組織 Lazarus 及其分支 Bluenoroff,以金融動機運用 APT 手法襲擊各國金融機構,同樣的知名北韓駭客組織 Scarcruft 、 DarkHotel 則運用 0day 漏洞攻擊南韓,同時也運用 Android 惡意程式、後門的手法進行入侵。
另外 APT 手法的攻擊對象也有所改變,開始朝路由器、智慧型手機、物聯網設備發展,被 Cisco Talos 發現,並被美國聯邦調查局 (FBI) 歸因 Sofacy(又名 APT28)或 Sandworm 組織的 VPNFilter 活動,即是對路由器進行滲透。 DNS 劫持惡意軟體 Roaming Mantis 則對物聯網裝置下手,並試圖感染 Android 手機,以及對 iPhone 進行釣魚等。
其他知名的攻擊如 Olympic Destroyer 組織對 2018 年 1 月平昌冬季奧運進行破壞,卡巴斯基發現 Olympic Destroyer 所用的程式碼與 Lazarus 高度相仿,且奧運附近的 Ski Resort 飯店成了此次攻擊的受災戶。此外也詳整解析 Dropping Elephant 的攻擊,影響範疇擴及多國,包含孟加拉、斯里蘭卡、巴基斯坦、中國大陸、乃至台灣都在其列。
歸結而言,網路路由器的安全性已不可忽視;APT 攻擊證實已開始聚焦在物聯網設備及環境或行動平台;資安攻防已進入一個新的層次等。最後 Vitaly Kamluk 也強調國區地緣性的資安影響,與中國大陸相鄰的國家,近期對中國大陸的入侵興趣在提高中,也是值得關注留意的新發展。
以「可適應性安全架構」建立數位防禦抵抗力
「數位轉型已不再是一個選項。」IDC 台灣區研究總監江芳韻開宗明義地說,無論台灣或亞太的調查均顯示數位轉型與企業未來競爭力高度關連 ,今日的課題已不是要不要做(數位轉型)?而是當如何做?
實現數位轉型可帶來新機會,但同時也要面臨一些挑戰與風險,數位轉型過程中駭客也運用技術進行威脅或入侵。過往的駭客攻擊其動機可能僅是對社會表達抗議或單純炫耀資訊技術,而今已進展成有組織、有獲利目地的集團化經營。原因是太有利可圖,依據國際刑警的調查,有一宗電腦犯罪的投資約 2.5 萬美元,然第一個月即帶來 10 萬美元的收益。
所以企業在數位轉型時就當考慮資安設計 (Security by Design),且須從思維、文化上進行改變。即便企業已經完成轉型也須時時留意與檢視。江總監說明,即便如愛迪達、推特等已完成數位轉型或已高度數位化的企業仍會遭受資安意外,遑論其他企業。
而 IDC 針對亞太區調查,企業對進階持續性滲透攻擊 (APT) 的擔憂為 32.5%,但若將佔比 27% 的 Zero-day 攻擊視為 APT 的一部份,則 APT 已成亞太最擔憂的資安威脅。更令人擔憂的是調查也顯示高達 64% 的企業尚未對 APT 有真確瞭解,如此將難構築紮實防護。
瞭解數位轉型的價值與資安風險後江總監以孫子兵法為結:「知己知彼百戰不殆;不知彼而知己一勝一負;不知彼不知己每戰必貽」以此與業者、企業共勉。
與執法機構一起對抗網路犯罪
卡巴斯基亞太區公共關係總監 Oleg Abdurashidov 以「地緣政治 (Geopolotics) 、透明度 (Transparency) 、回應 (Response)」為題說明近期的 4 個國際資安趨勢,以及卡巴斯基透過此可傳達的 3 個訊息。
首先是資訊安全的巴爾幹化 (Balkanization),此為地緣政治術語,意指國區的分裂與相互敵對,例如英國在 2016 年頒佈 Investigatory Powers Bill,2017 年德國、新加坡、中國大陸也頒佈類似的國區資安保護法案,2018 年俄羅斯也通過類似的 Critical Informational Infrastrcuture Bill,至於 GDPR 更是箇中的代表,國區間的防備正在加深加重。
其次是保護主義,此對國區的企業產生刺激,同時也強制要求國外企業的配合,並對外商產生排擠作用。其三是電腦網路環境的軍事化,如今已有超過 30 個國家成立網軍部門 (military cyber-division),各國的資安法規也對軟體開發商加諸壓力,還有北大西洋公約組織的第五條款 (NATO Article 5),條款內容為「對任一 NATO 成員國發動攻擊應被視為對全體成員國發動攻擊。」其四是國際合作的崩解,此包含國際組織的無效率、在地立法壓力的增加等。
針對上述的趨勢發展,卡巴斯基期望傳達 3 個訊息,一是世界正在改變,我們正處於領先波,其他人將跟隨。二是卡巴斯基擁有業界最好的技術可防範極多變的攻擊,這使一些政府或利害關係人不開心。三是我們非常很認真的進行改變,將此視為成為產業主導的機會,並透過商業實務進行實現。
遵循「可適應性安全架構」建立資訊安全策略、優化資安預算
卡巴斯基台灣業務總監黃茂勲以全球災情慘重的 WannaCry 勒索病毒為例為啟發開啟討論,該事件的真正關鍵源頭是什麼?該如何進行資安事件鑑識?事件後當如何修補、追蹤還原?
今日的高階資安威脅攻擊已經朝多層次且隱匿的趨勢發展,在攻擊前已多所準備,之後加密隱藏地交付傳送,而後在新網域、灰色網域進行載入與命令傳遞,進一步則是旁側運行,正式發作執行,最後還抹除中機,將日誌刪除,甚留下後門等。
黃茂勲進一步對高階威脅攻擊進行分類,高階威脅已朝複雜且非線性方向發展,初期會偵察測試,而後從多處進行滲透並散播,之後以遠端或本地端方式執行攻擊,正式成為資安事件。
針對日益複雜的威脅,當運用流程與策略才能防範,這包含數據鑑識、發現、確認、調查、清除與消弭,最後是回覆。但每個環節資安團隊而言都是挑戰,例如數據鑑識尚未自動化、缺乏威脅發現的知識等。然每個環節均需要投入資安預算下,在預測有限下,卡巴斯基建議採用 Gartner 的可適應性安全架構 (Adaptive Security Architecture) 。此架構包含四個面向,即預測、預防、偵測、回應,資安預算應平均分配在四個面向。
若真的難以投入預算到偵測、回應上也要避免豬隊友的扯後腿。另也建議落實 ISMS(Information Security Management System) 資安管理制度,針對系統資產進行盤點,同時提高同仁安全意識,達到有限預算下的最佳防護。
卡巴斯基威脅與防禦解決方案建立可適應性資安象限
延續「可適應性資訊安全架構」的議題,卡巴斯基亞太區售前總監 Leonard Sim 強調,必須有整合式的方案與服務,才能有效面對不同階段的進階威脅。卡巴斯基在資料收集階段的對策包含應用程式防護性評估、滲透測試、客製化報告等;而在威脅的散佈階段則有安全認知、實務訓練等配套;在動作、離去階段也有多項對應,如先進威脅報告、目標攻擊探索、可管理保護等。
卡巴斯基也提出其威脅管理與防禦的技術主張,此由三要素所構成,即 Kaspersky Anti Targeted Attack(KATA) 、 Kaspersky Endpoint Detection and Response(KEDR/EDR),以及 Kaspersky Cybersecurity Services 。其中 KATA 負責資安防護的前階段,KEDR 則負責後段,而 Cybersecurity Services 則為全程控管。
KATA 可觀察到網路層活動,並用先進的沙盒功能來分析威脅、從多個維度探索威脅,以及有全球性的威脅智慧為後援;KEDR 可提高端點的可視性、收集彙整取證資料、運用先進技術有效偵測威脅、並快速回應資安攻擊、避免已知威脅的惡意行為等;Kaspersky Cybersecurity Services 則可分享專業防護訓練的知識給企業、對資安事件 (Incident Response, IR) 有效回應,並對威脅採取監督與主動獵殺。
更重要的是,卡巴斯基的防護方案可從商業層面體現其價值,包含降低成本、加速投資回收、減輕攻擊風險。最後加上 HuMachine 的智慧概念,同時融會貫通專家分析、機器學習、大數據/威脅智慧等,如此將可完整實現與呼應可適應性安全架構相呼應。
混合雲的安全王者-KHCS
「企業資訊環境正在轉變,從過去完全自屬機房轉向並用公有雲服務,然也因此衝擊改變企業的安全架構。」卡巴斯基大中華區售前經理謝長軒如是說。並用自有機房與公有雲即構成混合雲,混合雲已是不可阻擋的趨勢,據調查各行各業均對採用雲端服務抱持高度一意願,但混合雲卻有可能成為新資安風險、威脅的灰區,缺乏能見度與安全透明度,企業對此必須瞭解與重視。
在混合雲的安全架構中,有部份是企業當自行負責管理,如作業系統、應用程式,然也有部份是由雲端業者負責,如網路、硬體。資訊環境層次更多、複雜度增加,此形成資安的新挑戰,對此卡巴斯基提出對應解決方案 Kaspersky Hybrid Cloud Security(KHCS) 。
KHCS 的特點包含可用單一管理介面統管所有環境,無論雲端平台或自有機房均在其列,且提供可信任且完整整合的資安應用程式介面 (API) 。 KHCS 運用反應技術、主動技術及先進技術,以偵測防禦已知威脅、未知威脅、高級威脅。此外也具備新一代的人工智慧 (NextGen AI) 技術可輔助系統運作時的防護,同時強化系統及工作區的防禦,並提供資管人員企業級的資安能段與可管理性。
進一步的,KHCS 提供最佳效率與資源運用效率、能與領導品牌軟體(如 Microsoft 、 VMware 、 Citrix)密切整合,及業界最佳偵測率、技術領先性,值得企業參考評估採用。
全新卡巴斯基端點安全與人員資安意識養成
即便進行層層防禦,然最終最重要的是企業組織與每個成員的心防。卡巴斯基大中華區售前經理謝長軒表示大部分的進階威脅是利用最基本的漏洞及人員疏失開始的,而且威脅每天都在進化。
因此「安全意識的養成」亦是重要課題,此屬於可適應性資訊安全架構中的「預防」面向,這需要透過資安意識教育訓練來提升。而企業各處各端點也需要佈署端點防禦。企業若能將安全意識視為常態訓練,持續強化提升,可降低 90% 的資安意外發生。
安全意識的導入除能減少 90% 的資安事件發生外,也能讓重大資安事件的發生率降低至 50% 以下,並帶來可觀的投資回收率。為此卡巴斯基積極投入發展安全意識課程,且已獲得廣大迴響,86% 以上的課程學員均建議能持續此類課程。
卡巴斯基提供的線上資安意識課程,不限時間地點均能授課,授課的教材、師資均達品質水準,並透過實務訓練、測驗等,達到量化追蹤學員訓練成果。此外,企業當輔以採用全新端點安全防護 Kaspersky Endpoint Security(KES) 11 版,運用機器學習技術建立多層次防護。
全新 KES 11 可從攻擊鏈分析端點防護所需的技術,並提供進階的端點控制功能、加密功能、安全機制,使作業系統、資料夾、隨身碟等各類型端點均獲得防護。同時 KES 可透過代助程式與 EDR(Kaspersky Endpoint Detection and Response) 密切整合運作,加上全球智慧情報網路的支援,使整體防禦更周全完備。