全新資安思維 快速打擊複雜威脅

Arbor Networks技術顧問林子傑。

面對愈來愈頻繁的網路攻擊，原本就擅長網路流量分析的Arbor Networks，決定推出Spectrum平台，跟企業分享過去只跟學術機構交流的資安情資。Arbor Networks技術顧問林子傑指出，根據世界經濟論壇(World Economic Forum)的統計，全球網路犯罪共已造成2,880億美元的損失，大規模資料外洩世界更已是常態，企業必須要重新思考資安策略，才能將可能遭致的損失降至最低。

林子傑強調，企業必須意識到，想要做到百分之百的資安防護的難度很高，但可以先從降低風險做起。如駭客主要都是利用程式漏洞侵入，所以只是做好內部網路對外的防護是不夠的，因為企業會有很多人在外部作業，只要外勤人員的電腦中毒，駭客就有可能會從內部入侵，所以不管是對外及對內的防護，都有加強的必要。

以進階持續性滲透攻擊(Advanced Persistent Threat；APT)為例，目前的偵測方式雖然非常多樣，對外可以使用防火牆、沙箱，對內則有可以側錄資安鑑識分析，但林子傑指出，由於惡意程式與特徵碼落差太大，相差甚至可達20倍以上，代表資安設備其實很難防止外部的入侵，需要一個工具來彌補中間的落差。

林子傑主張企業資安思維，應該要化被動與主動，主動去找出網路上目前正在發生什麼狀況。因為對駭客而言，只要成功入侵一次，就可以獲取巨大利益，因此企業的資安思維，如果仍是以被動防禦及回應為主，駭客總是會從各種管道設法侵入，但如果改用主動方式，注意網路上的惡意行為特徵，預先作好防範，就可減少駭客入侵的意願，進而降低資安風險。

林子傑建議企業在防禦APT的配置，應該轉變現在主要是以檢測(DETECT)為主的做法，而是要加強分析及鑑識(ANALYZE/PROVE)方面的投資，因為如此才能主動有效很快地知道感染的範圍，掌握感染的動作，才能快速打擊資安威脅。

因此現在的企業資安做法，一開始應該都會有Log，然後開始作關聯性分析。林子傑以Arbor Networks Spectrum平台為例，透過防火牆及安全性資訊與事件管理(SIEM)的Log，不只可以看到有哪些重要的主機遭到攻擊，還能夠判斷發生什麼事，才能在必要時能夠做進一步的調查。

林子傑指出，Arbor Networks Spectrum平台在收到Log時，可以利用資料庫來做比對，因為資料庫保存很多「指紋」，可以減少人工比對的負擔，可以很快地透過Log搜尋，掌握發生什麼事情，有哪些足跡？有哪些主機受影響？不僅可以看到內部主機將那些重要資料傳到外部，不但可以掌握需要調查的標的物，而且還能知道資料為什麼會開始傳輸。

如發現資料開始對外傳輸時，不僅可能發現是之前有一個機器針對主機做了後門程式的植入、植入的管道，還可以知道是哪一個使用者點選哪一個連結，才能更進一步的追查，感染的動作是到此為止？還是有更多的機器被感染？

林子傑強調，要打擊資安危脅，一定要做好關聯性分析，而不能只是看到有資料正在傳輸的資訊而已，必須要針對感染的過程，做好全面的檢視，才能夠知道該如何從什麼關鍵點開始處理。企業資安不能只靠後端防護，而是要建立全新的資安思維，千萬不要以為能夠阻擋攻擊，就代表資安事件結束了，而是要主動搜尋或嚇阻，提早發現威脅，才能快速打擊日趨複雜的資安威脅。