對抗勒索軟體,企業應打造從預測、防禦、偵測到應對的安全循環

下一個故事
對抗勒索軟體 企業應打造從預測、防禦、偵測到應對的安全循環
 
引言:
勒索軟體的攻擊方式正在轉變,從早期亂槍打鳥、以個人為主的盲目攻擊,轉變成針對特定企業去設計、傳播的攻擊手法。台灣二版高級產品經理盧惠光認為,企業不能只將資源集中在防禦(Prevent)、偵測(Defect)兩個面向上,還要強化預測(Predict)、應對(Respond)的能力,才能真正防禦勒索病毒或是其他資安攻擊。
 
本文:
自從WannyCry在2017年一戰成名後,勒索病毒就成為企業最擔心的資安風險之一,因為勒索病毒攻擊的對象正逐漸從個人轉移至企業身上。
 
台灣二版高級產品經理盧惠光指出,個人所擁有的資料大多是照片、影片或一些重要檔案,對駭客來說價值有限,再加上雲端儲存/備份服務的供應商越來越多,民眾要做好資料備份其實不難,這使得駭客要透過勒索病毒的方向民眾詐取錢財,變得越來越不容易。
 
反觀企業就不一樣,企業擁有很多與營運息息相關的重要資料,雖然也會進行資料備份,但往往礙於預算,導致備份不夠完整,這種狀況在中小企業尤為常見,相對而言,駭客想要詐取錢財也容易許多。也因此,勒索病毒漸漸出現針對性,從早期亂槍打鳥式的盲目攻擊,轉變成針對特定企業去設計、傳播的攻擊手法。
 
雖然經過這一兩年的病毒攻擊事件洗禮與市場教育,大多數企業都已瞭解勒索病毒攻擊的嚴重性,也願意規劃相應防禦機制,但整體而言仍舊不夠完善。因為企業的防禦思維大多從防毒角度出發,希望透過資安解決方案攔截勒索病毒,忽略該做全面性思考,導致防禦效果有限。
 
「這一點其實反應出台灣企業在資安防禦上的盲點,」盧惠光語氣肯定地說。他進一步以Gartner在2015年提出的自我調整安全架構(Adaptive Security Architecture)做說明,大多數台灣企業都將資源集中在防禦(Prevent)、偵測(Defect)兩個面向上,很少注意到預測(Predict)、應對(Respond)的重要性。

@:應用Gartner自我調整安全架構  打造不斷循環的防禦框架
在Gartner自我調整安全架構(Adaptive Security Architecture)中,預測、防禦、偵測、與應對四道程序,是一個不斷循環的過程,藉由這樣的循環框架,可以避免企業將資源集中在相同領域的資安解決方案,真正有效地因應各種資安攻擊。
 
所謂「防禦」指的是在資安威脅進入企業內部系統前,事先攔截或擋下。「偵測」則是假設企業已經處於被攻擊的狀態中,透過偵測機制來發現那些逃過防禦機制的資安威脅。「應對」主要在分析被檢測出來的攻擊事件,例如:威脅種類、攻擊來源、攻擊路徑等,並規劃新的防禦機制,避免相同問題重複發生。「預測」則是從外部駭客攻擊行為中學習,找出對現有系統具有威脅性的新型態攻擊,並將訊息回饋到防禦與偵測端。
 
以前述勒索軟體攻擊為例,防毒軟體就屬於防禦類的解決方案,但是勒索軟體會變種與翻新,所以企業不能只靠防毒軟體,還需要加強「應對」機制,才能即時找出未被發現的勒索軟體。舉例來說,
 
例如,結合雲端沙箱去分析未知軟體或檔案的行為模式,或是導入端點偵測與反制系統(Endpoint Detection and Response,簡稱EDR),找出在端點電腦的潛在威脅,並加以阻斷、清除惡意軟體。
 
@:善用資安解決方案  強化「應對」「預測」機制
盧惠光強調,雲端沙箱的優勢在於連網,一般內建在資安解決方案中的沙箱,雖然也可以判斷軟體安裝或檔案開啟後有沒有惡意行為,但有些勒索軟體會被設計成延遲發作,以躲過資安解決方案的檢測,例如:當可以連網時再連到Botnet下載惡意程式,而雲端沙箱因為本身就處在連網環境下,所以能讓勒索軟體無所遁形。
 
目前台灣二版動態威脅防禦(ESET DYNAMIC THREAT DEFENSE ,簡稱EDTD)解決方案,就導入了雲端沙盒分析技術,其可整合端點電腦、郵件伺服器與檔案伺服器,即時檢測是否有資安威脅潛藏其中。盧惠光指出,雲端沙箱整合檔案伺服器與端點電腦的優勢在於,如果有人建立了可疑檔案,ESET動態威脅防禦(EDTD)會立即將檔案傳送到雲端沙箱,除了做行為判斷,還會找出該檔案的Hash值,當確認其為惡意檔案時,動態威脅防禦(EDTD)會立即進入各個端點電腦,尋找是否有相當Hash值的檔案並予以刪除,避免對企業造成更大的危害。
 
另外,台灣二版資安威脅情報服務(ESET THREAT INTELLIGENCE SERVICE,簡稱ETI),則可幫助企業落實Gartner自我調整安全架構中的預測機制。由於ESET背後有一個龐大的威脅資料庫,24小時X7日不間斷地搜集來自全球1.1億個用戶、200多個國家/地區的威脅情資,如今透過資安威脅情報服務(ETI)將這個資料庫開放出來,變成一項提供給客戶的服務,希望能協助客戶強化資安防禦。
 
盧惠光表示,資安威脅情報服務(ETI)的運用有三種形式,第一是透過資料交換的方式,將新發現的病毒Hash值、Botnet IP等,變成一個同步資料源,同步到SIEM、防火牆等資安解決方案中,使其能準確地找到資安威脅。第二為主動預警,資安威脅情報服務(ETI)可以將某些具有針對性的攻擊,例如:專門竊取網路銀行密碼的木馬程式,主動預警給相關產業客戶知曉。第三則是樣本提交,企業可以選擇將偵測到的資安威脅上傳到資安威脅情報服務(ETI)平台進行分析,以便更深入瞭解資安攻擊來源與手法。
 
置身現今高度資訊化、高度風險的年代,威脅與攻擊翻新的速度越來越快,企業必須以Gartner自我調整安全架構為基礎,建立一個不斷循環的安全防禦框架,隨時掌握最新攻擊資訊、隨時調整防禦架構,用更省力的方式落實資安。
 
 
*原文轉貼於數位時代