打造堅強應變機制 昂然因應雲端資安風險
毋庸置疑,論及雲端世代的資安攻防,不僅是一場資訊不對稱的戰爭,且攻擊者與防禦者雙方的實力差距,仍在逐步擴大當中;現今的攻擊活動,已非源自單一駭客、或一小撮駭客群體的獻技心態,而是訴諸專業分工的駭客團隊,憑藉背後偌大黑色產業的支撐力道,從而基於牟利動機所發動的組織型攻勢。
回顧2016年至今,舉凡讓人咋舌的第一銀行ATM盜領事件、勒索軟體肆虐,乃至多家券商集體遭受DDoS攻擊勒索,以及令企業主驚恐不已的「變臉詐騙(Business Email Compromise)」或「商業流程入侵(Business Process Compromise)」,皆是肇因於組織型惡意攻擊。
這些接踵而至的資安事件,難免會讓企業擔驚受怕,使得原本躇躊滿志的上雲計畫或其他創新舉措,因而陷入謹小慎微、進退維谷的窘境,讓數位轉型動能趨於衰竭,形成負面循環。
組織型攻擊 防禦難度高
當然,攻守雙方實力的不對稱,除了來自於駭客團隊的軍容愈趨壯盛外,更可怕的因素在於,駭客的攻擊技術、威脅手法日新月異,單憑企業現有的防禦機制,要想遏阻敵軍進犯,難度愈來愈高;此乃由於,駭客團隊不僅集結了身懷不同技術的專業好手,且不論對於鑽研當前防護機制的罩門,抑或對於諸如大數據分析、機器學習、人工智慧等創新技術的追求態度,都比居於防守方的企業機構,更加積極進取。
除此之外,正所謂工欲善其事、必先利其器,即使有些人未必擁有前述高超技能,如果能善用黑色產業的地下市集,借助他人的智慧結晶,進而取得攻擊程式、範本程式(Exploit Code)、詐騙資料等各式資源,照樣能搖身一變,成為帶有殺傷力的攻擊者。
因此只要有心,人人皆可能淪為駭客,而企業必須提防的,即是來自四面八方極具攻擊效率的惡意人士,倘若未能與時俱進提升自身防衛能力,就可能在資安攻防戰役中落居劣勢。
有業界人士說,時至今日,帶有引君入甕意味的網路釣魚,已經落伍,取而代之的,已是既細膩又精準的「奈米式攻擊」,或是夾帶攻擊演練行為的「虛擬化滲透」,其間更擅於利用公有雲作為攻擊跳板,藉以掩藏惡意身份、讓企業無從追蹤中繼站IP;在此前提下,如果企業不能體察時勢,仍僅針對譬如網路釣魚等舊的攻擊手段佈建防禦工事,可想而知,便很容易讓駭客長驅直入。
僅倚靠預防 恐難避免災厄
資安形勢看來愈來愈險峻,企業如何是好?首先,企業不宜繼續一廂情願,認為已經引進足夠的資安防禦系統,亦已遵遁ISO 27001標準,就認定自己會一直相安無事,而必須假設自己必然遭受惡意入侵、甚至不排除已經被入侵得逞。
只因為如前所述,具有組織且專業分工的駭客集團,會不斷研發與嚐試成效更佳的攻擊手法,所以今天看似完備的「事前」防護體系,明天很有可能出現破口,僅憑這般機制來捍衛珍貴的數位資產,肯定有所不足。
知名研究機構Gartner在2014年提出「預防無用論」,也不偏不倚地呼應前述論點;該機構認為,企業絕對無法成功阻止針對性攻擊的入侵,強烈建議企業應永遠假設自身正受攻擊,所以整體性的持續防禦流程,會比預防駭客的攻擊更為重要。
換言之,企業在建構事前安全防護系統之餘,也應該針對過往明顯不足的「事中」應變、「事後」復原等相關機制加以補強,否則就算拼盡全力佈建最強大的防火牆、防毒軟體、入侵防禦系統(IPS)、網頁應用防火牆(WAF)、Anti-APT、Anti-DDoS等防護工具,依然難以安枕無憂。
至於企業要如何在既有資安防禦能力之外,打造有效的事中應變、事後復原乃至於鑑識等架構,首要之務便是整合內外部威脅情資。也許有人認為,其實企業已經在運用威脅情資,主要來源即是資安廠商,由這些廠商主動追蹤與調查資安事件,繼而根據事件的來龍去脈,包括相關系統弱點的修補,產生對應的解決之道,讓用戶套用於網路或資安系統之上;但殊不知資安威脅型態多元,且攻擊者來自全球四面八方,僅憑單一或少數業者的力量,並不太容易全盤掌握。
善用威脅情資 淬煉資安體質
專家建議,除了收納帶有商用授權性質的資安威脅情資外,其餘包含源自公開資訊的Blacked IP/Domain/URL、tor Hash或IOC(Indicator of Compromise)等情報,透過社群媒體(譬如Twitter及臉書)、弱點資料庫、資安專家部落格及相關資安新聞網站整理分析資安趨勢,乃至於針對暗網論壇(Dark Web)進行監控、據以掌握最新威脅,都是不可或缺的情資來源。
前述種種,清一色為外部情資,然而對於有心做好資安的企業來說,亦應重視內部情資,比方說可借助安全事件管理系統(SIEM),針對內部遭遇的威脅情況進行整理、分析與研究,理解各個面向的業務流程風險,藉此產出有用的情資。更重要的,企業應力求有效整合內外部各類情資,作為制定或調整資安決策的依據。
倘若企業有能力掌握第一手情資,不僅能強化抵擋惡意入侵的實力,更可透過對於攻擊手法與來源的理解,將相關資訊匯入旗下各式資安系統,以達到縱深聯防功效,另外再搭配建立資安應變流程與組織,如此一來,即可循序補強事中應變、事後復原等過往多所不足的機制。
值得一提的,在企業持續掌握最新威脅情資之餘,也有必要針對帶有較高風險的業務活動,設計與實施攻防演練,且該演練應側重於兵棋推演、絕非紙上談兵,意在模擬入侵的戰略思維,所以除了需要在演練過程中配置Red Team(攻擊員)、Blue Team(回應員)、White Team(引導員)、Grey Team(觀察員)等不同角色。
總括而論,企業可按下列步驟實施攻防演練:(一)確認演練目標;(二)設計演練情境;(三)協調人員、資源與行程;(四)發展演練計畫與檢核表;(五)準備相關工具與環境;(六)動員Red Team、Blue Team、White Team、Grey Team等不同角色執行攻防演練;(七)產生計分機制及報告內容。
經由上述各項舉措的淬煉,企業不僅能了解敵人,也更清楚自己的弱點,從而對症下藥調理資安防禦體質,有效因應數位科技帶來的資安風險,在此前提下,即可昂然邁向雲端,不會因為懼怕惡意入侵、擔心機密外洩,延宕數位轉型的步伐。