目前多數企業的防護策略,還放在處理資安事件或修補弱點為主,並非透過風險評估或威脅建模來投資資安設備防護能力。如梭世代認為此種被動式防禦思維存在許多盲點,無法全面檢視防禦機制是否能成功有效阻擋下次攻擊行為。
採訪/林振輝、施鑫澤‧文/林裕洋
為獲取龐大經濟利益,駭客莫不積極尋找企業各種資安防護上的弱點。有別於過去亂槍打鳥的作法,目前駭客則是採用針對性攻擊行為,首先刺探企業的資安防護策略,如防火牆、防毒軟體等品牌,採用何種監控機制等等,最後再決定使用何種攻擊手法進行入侵。
儘管現今目前多數企業都採取防毒軟體搭配防火牆,藉此鞏固整體內部網路安全,但是在駭客攻擊手法多變、入侵管道多元下,儼然已經無法抵抗現今的資安威脅。目前多數企業的防護策略,還放在處理資安事件或修補弱點為主,並非透過風險評估或威脅建模來投資安設備防護能力。換句話說,此種被動式防禦思維存在許多盲點,無法全面檢視防禦機制是否能成功有效阻擋下次攻擊行為。
如梭世代創辦人洪睿荃認為,目前企業被攻擊型態大致上可分成三部分,首先是外部服務或是網站等存在已知風險,造成攻擊者可輕而易舉成功進入企業內部網路。其次,則是第三方軟體與服務安全性,過往企業使用第三方軟體與服務並未完整檢測與管控,直接進入企業內部網路,但其安全性卻無人檢視,成為駭客入侵的破口。最後,則是企業對於資安應變處理危機不足。過往企業發生資安事件後,首要目的將該台主機重新安裝,並無檢視是否還有其他殘留後門,造成攻擊者二次進場進行攻擊。
主打紅隊演練 協助企業培養實戰經驗
ZUSO 從社群起家,2019年成立實體公司的如梭世代,主要服務紅隊演練與滲透測試,更於 2022 年獲 MITRE Corporation 授權為CVE 計畫夥伴,旨在協助產業以負責任的弱點揭露實質改善資訊安全。
透過實際演練,利用紅隊攻擊行為來訓練防禦同仁應變、通報機制、與識別攻擊手法,特別是面對紅隊複雜攻擊鏈,來檢視防禦同仁是否能協同合作來面對紅隊攻擊,希望藉由提供攻擊面服務,協助企業培養防禦實戰經驗。
洪睿荃表示,在演練或檢測結束後,企業更在乎將此風險修補與短、中、長期改善方針,如梭世代團隊更將扮演企業資安顧問角色。針對企業面對威脅,提供實務上改善網路資安現況、針對已知風險修補方式,給予資安監控技術防禦面技術指導,讓客戶可快速掌握如何維運企業內資安,有效提升資安能見度。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
洪睿荃指出,真實威脅都來自外部服務,我們發現大多數企業都採用 WAF 進行阻擋防禦,但卻沒有針對Web 日誌進行威脅分析,導致攻擊者繞過WAF 時,可成功入侵至內網,資安人員卻渾然不知。因此,如梭研發團隊自主研發 CyberEyes ,此產品針對Web日誌作威脅分析平台,針對網路服務進行分析與告警服務,強化應變速度,同時聚焦Web資安威脅。
如梭世代技術長何宜霖說明,CyberEyes並非單點防禦產品,我們透過吸取長期資安顧問服務經驗,讓產品可提供分析攻擊手法與防禦機制,加上既有團隊內紅隊演練攻擊思路,建構資安防禦完整面向,有助於進而落實所謂內、外網連線之重要性外,也強化內網連線的監控,鞏固主動式防禦推動策略。
增加駭客攻擊成本 建立駭客入侵障礙
洪睿荃表示,現今資安威脅必須要有弱點是不可避免的基本認識,如梭世代認為高階主管的投資資安心態,不應該放在防止弱點產生,而是要增加攻擊者成本達到減緩攻擊者入侵能力,所以應該考慮從以下幾點改進。首先,資安防禦重點在於事前威脅情資分析,以及更有效對於攻擊者發動攻擊前,將攻擊者行為阻擋下來,並增加攻擊者成本。
其次,企業業防禦除增加縱深防禦外,更需要採取零信任網路架構強化身份驗證機制,權限下放才能更有效阻擋惡意攻擊者行為。第三點,企業不能有只靠一個防禦設備補捉攻擊者軌跡心態,更需要增加資安能見度,且未來應用服務皆變成微服務,造成網路邊界越來越模糊,控管與能見度勢必需要增強。第四點則是對於近來興起的第三方軟體與服務風險,更需要透過資安檢測,如透過滲透測試或是紅隊演練來識別弱點,且也需要透由合約來約束廠商相關資安作為。
「要提升資安團隊運作,主管必須要有駕馭整個團隊運作企圖心,企圖心會影響整個團隊運作方式,同樣也因具有企圖心,若遇到無法落實,便會回頭思考其中原因。」洪睿荃解釋:「依照企業給予資安預算做最有效配置,面對新型態駭客攻擊手法或是新聞事件,資訊主管應該思考若這次事件發生於本身企業,團隊該如何反應與偵測,因每次案例都是未來可能會發生的真實案例,也能趁檢視應變機制,或是監控不足的地方。未來是否還有改善空間,或是透過任何可行方式強化資安能見度。特別是資安政策部分,隨著時空背景變化與團隊經驗累積,更需要加以檢視、修改與提升相關流程與技術。」
資安威脅暴增 資安長責任重大
2021年政府繼續推動「資安即國安 2.0」計畫,促成企業資安落實的政策,新上任資安長如何面對當前資安威脅態勢。如梭世代認為重點在於企業資安佈局,資安長必須要點出企業資安缺乏的關鍵事務,面對關鍵事務則是要觀察資安團隊處理小型事務,如預防與偵測技術是否有辦法快速抓到偵測重點,這正是提升企業防禦面最基本要求。
洪睿荃表示,大方向應該從抓緊各部門的目標與方向著手,並清楚傳達理念給同仁,如透由紅隊演練重點方向各部門要詳細記錄紅隊攻擊軌跡,落實通報機制並思考要如何做好防禦機制。其次,亦應該思考有效利用相關資源,提升企業內部人力專業素質,特別是人才培育是資安最重要關鍵,若能吸取第三方資安廠商攻與防經驗,將有助於強化資安人才的能力。畢竟防禦設備是固定的產品,唯有搭配資安人員的思維,才能更有效防禦現今駭客攻擊。
如梭世代認為資安威脅未來會更加嚴峻,所以在規劃中,應思考透過小同大異的服務與產品,縮短企業對於資安上的投資矛盾。畢竟,資安產品重點核心在於服務,除增加產品的資安能見度之外,也將會透過服務協助企業增加防禦思維,進而強化在市場上的競爭力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
