業務部本文目錄
資安設備無法達到 100% 防禦 MDR 服務更顯重要
面對攻擊者在資訊安全上的威脅,我們無一不期待能有個終極解決方案。只要使用這個終極解決方案,就再也不用擔心資安的威脅。這是一個美夢,但是現實是,目前所有的資安設備都做不到 100% 的偵測率。在這個前提下,當防禦架構是建置層層的資安防護設備,其實就代表資安事件還是可能會發生。偏偏現在主流大部分的防禦架構都是阻擋在網路的出口端,或是部分網路的集中處。當攻擊者成功躲過閘道端的設備,後續要進行處理就變得非常困難。
對比傳統的資安防禦策略或觀念,先從各式自動化偵測入侵風險的設備開始。當建設到一定數量的資安防護設備後,考慮到管理與後續處理的效率,很多組織會開始導入 SIEM 這種類型的方案,透過集中收集每個資安設備的紀錄,再加上 SIEM 本身的關聯分析,以求可以做到集中管理與分析資安風險的目標。
我國也有多家資安服務廠商,提供委外使用的 SIEM 服務,就是市場上可以找到的 SOC 廠商。依據我國的政策管理辦法,在政府與金融有著比較明確的規範,所以 SIEM 這種解決方案的採用者,主要也出現於政府與金融產業。我國的 SOC 廠商,皆提供符合政策規範的相關功能,例如:提供一定年限的紀錄保存功能,或是收集資安設備警訊定關聯後,發出對應的資安事件通報。但關於後續協助處理的機制,往往就比較缺乏,大多需要依賴使用者自行處理。
我國 SOC 目前提供的服務在 Gartner 的定義中,屬於 MSS(Managed Security Services) 。但在 2017 年 5 月,Gartner 發佈一份新的市場指南,提到更新一代的 MDR(Managed Detection and Response),強調持續性的威脅偵測與監控機制,同時提供客戶完善的資安事件處理能力。讓使用者不需要對於排山倒海而來的大量警報疲於奔命。透過 MDR 服務提供偵測、分析及處理一次到位的服務方案。
為何 Gartner 要提出新的 MDR 服務方式,其實就是要改善傳統 MSS 服務的一些盲點。如前面提到,我國的政府與金融產業,在政策的規範下,多半會使用 SOC 這種 MSS 服務。但近年來震驚國人的銀行資安事件,在發生時卻皆由檢調介入處理,更不提為何當初在監控時,對這類的攻擊毫無察覺。並非 SOC 廠商疏忽,而是因為 SIEM 設備的功能限制。
SIEM 的設備本身無任何自主偵測能力,需要藉由收集其他資安設備的記錄檔 (Log),才能夠進行分析。在這樣的功能設計之下,當攻擊發生時,便會產生 2 種情況。其一是資安設備可以正確的偵測到攻擊,然後產生警報,同時 SIEM 設備會收到這個警報,接著 SOC 就會發出通報給客戶。另外一個狀況,當攻擊發生,資安設備沒有正確偵測到,所以不會產生任何警報,當然 SIEM 跟 SOC 自然不會收到任何警報,攻擊者成功滲透到內部環境,然後假以時日,就會擴大成嚴重的資安事件,無一例外。
駭客平均潛伏時間 500 天 資安防禦概念要轉型
在早期的資安防禦策略中,主要利用縱深防禦。透過層層構築不同防禦機制,以期增加駭客入侵難度,最終逼迫攻擊者放棄繼續入侵的意願。但是近年來 APT 這樣的風險,已經讓透過增加入侵難度,使得攻擊者放棄攻擊的情況,幾乎不是可行方法。根據趨勢科技過往揭露的臺灣企業平均遭駭客潛伏的時間,已經到達 598 天(資料來源:https://www.ithome.com.tw/news/108118),這樣的驚人數據。這個數據代表著是駭客將會不計時間成本,只為成功入侵後取得的驚人利益。背後的意義更代表著,即便駭客已經入侵到組織內部,可以進行各種活動,而組織仍然需要超過 500 天的時間才能發現。如果經歷一段這麼長的時間,卻沒有任何辦法可以發現攻擊者的足跡,那麼在 500 多天的時間內,要偷取到組織的機密資料或金錢,是非常有可能辦到的事。
這是現在所有組織面臨到資安最大的問題,攻擊者被實際上的金錢利益吸引,攻擊可能發生在任何組織,只要攻擊者有意願,攻擊隨時可能發生。在遠東銀行的事件上,更是體現一個完整的入侵過程。透過遠銀被公開的惡意程式,可以清楚知道,攻擊者已經竊取網域的管理帳號,取得完整的存取權限。甚至可以在眾多的主機中,找出 SWIFT 這台主機。在完成轉帳之後,再派送加密軟體至多台主機,可能是想要掩滅證據或是製造混亂。
攻擊者如此熟悉整個內部的環境,想必是花上許多時間探勘整個環境。在這個開始入侵到 SWIFT 轉帳的過程中,只要有任何一個環節被發現異常,就不會導致最糟糕的情況,但是眾多的資安新聞告訴我們的,就是當資安攻擊發生時,察覺到攻擊者的活動是非常困難的。
令人最沮喪的部分則是,幾乎所有人都會選擇在門口(網路出口端)部署層層重兵(各式資安設備)防守,但在沒有 100% 的偵測率的情況下,必然會有少數攻擊會成功入侵到內部。然後攻擊者平均有 500 多天的時間,可以在內部網路逛大街。如果還用傳統的防禦策略面對現有的威脅模式,那麼被攻擊成功並發生損失,似乎也是必然的結果。因此,我們必須正視現在的資安威脅,並採取更積極的手段來控制損失。
從現在開始的資安防禦概念勢必要轉型,當我們可以認知沒有任何資安設備可以 100% 偵測到攻擊,那麼被攻擊成功的機率就變成 100% 。但仔細審視所有資安事件的報告,我們可以發現,攻擊者從發動攻擊,到真正取得不法利益,是需要時間來辦到,而這時間往往從數個月到數年。但是在傳統的防禦機制下,我們全力將防禦機制都放在網路的出入口,卻沒有任何辦法,去處理攻擊者在內部開始的活動。一次潛伏期為一年的攻擊,代表著你在一年時間內,只要發現任何一個蛛絲馬跡,這次的攻擊可能就被消彌。但是每一次的資安事件新聞不停的停醒著我們,面對突破大門以後的入侵過程,我們幾乎毫無招架之力。
為此我們要仔細反思,如何處理當內部可能已經遭到入侵時,我們如何快速的找出可能的潛在後門。
MDR 資安服務更有效防止企業損失
綜觀全部的資安事件,可以發現一個共通點。就是在資安事件發生之後,會有資安事件的處理報告。可能由檢調單位提供,或是組織自行聘用的資安服務團隊。在報告中,所有資安設備無法發現的惡意程式,也會包含整個事件發生的過程、原因與後續改善建議。但事件處理必須等到事情發生之後,就算徹底找出原因,還是造成損失。
原本無法發現的攻擊手法或惡意程式,透過事件處理,可以輕易的被揭露出來。似乎很理想的解決分析未知威脅的問題。但是,傳統的事件處理,有著很大的缺陷,讓傳統事件處理方式。無法成為被廣泛採用的一項服務,最主要的原因就是人力。傳統的事件處理,需要仰賴大量的人力,收集分析用的紀錄,正規化所有的紀錄,最後再判讀整個過程。透過人力處理的方式,導致這項服務費用非常高昂,所以最後往往只能在資安事件發生後,才會使用。但是事後處理,代表損失其實已經造成,若要另外再消耗一筆費用才能查明原因,其實對很多組織來說,都是一筆沉重的負擔。
那麼如果可以擷取人力資安事件處理的優點,例如:可以發現資安設備無法偵測的新型惡意程式,以及分析整個攻擊過程的來龍去脈,加以改良。把收集資料跟分析資料變成是即時的自動化分析。這樣一來,可以想像一個情境,如果攻擊者在初步攻擊過程中,自動化事件處理系統可以隨時監控,即時把相關分析用的資料記錄下來,並自動整理相關紀錄。一旦發現疑似惡意活動,就立刻發出警報,事件處理人員就可以立刻介入分析,發揮人力分析的優勢。這個過程只需要數十分鐘,就可以即刻阻斷後續的攻擊,搶在損失發生前,就完成資安事件的處置。這樣的概念其實就是 Gartner 為何要提出 MDR 這樣的市場報告,因為未來一定是需要這樣的資安服務才能更有效的防止損失造成。
中芯數據 IPaaS(MDR) 三大特色
中芯數據是國內目前唯一可提供,從偵測、分析、也包含後續處理的 MDR 廠商。服務內容可以提供在合約期限內不限次數的資安事件處理與報告,更可以協助客戶進行惡意程式分析。包含下面 3 項主要特色。
- 端點威脅即時檢測– 資安攻擊日趨「針對性」及「持續性」,越來越多的攻擊可繞過傳統的資安設備防線,直達端點。
- 持續性的檢測、監控及分析– 傳統一次性或定期檢測方式,常出現「時間差」及「漏網之魚」等問題,沒辦法在災損出現或擴大前即時發現或阻斷,更無法針對軌跡進行追蹤與全面阻絕。
- 資安事件回應及遠端處理– 資安事件具「時效性」及「迫切性」,需在災損出現或擴大前予以即時處理。服務商需擁有專業技術團隊並輔以遠端處理方式,方可在最短時間完成事件處理並降低災損影響
