站在岁末年终之际,回头看今年企业it应用趋势,不难发现正逐渐朝向云端化/saas应用、移动化/信息系统app化以及消费化/byod等几个方向发展。
只是就信息安全层面来看,it管理者所面临的最大挑战,除了移动设备普及带来设备管理与安全方面的隐忧外,主要威胁几乎矛头皆指向进阶持续性渗透攻击(advanced persistent threat,apt)。
针对这类目标式攻击的问题,趋势科技台湾暨香港区总经理洪伟淦指出,根据一年来于客户端实地调查发现,遭受攻击的情况确实相当严重,只是受骇单位通常根本不敢声张,一旦确定为攻击事件则立即被列入最高机密处理。以往这类攻击事件并不会被重视,甚至去年只要谈到apt,多数it主管都认为那是属于政治目的之攻击,只有政府单位才会遇到。自从今年逐渐意识到现代化攻击行为已趋向低调隐匿,企业才开始升起警觉性,思索看似风平浪静的it基础架构下,究竟有多少未被发现的攻击行为。
黑客组织化获利模式
“今年陆续接获客户主动要求检测,也发现的确就是遭受apt攻击,且情况都蛮严重,几乎可说是遍地开花,不论行业别都全面遭遇此类事件。”洪伟淦强调。尽管台湾近两年高科技制造受大环境景气影响始终低迷,却仍是重要的攻击标的。去年还只是预测企业内部握有专利、营业秘密等核心竞争力资料,势必会成为觊觎的目标,没想到今年就出现许多高科技制造业接连遭受攻击,而发现时,资料往往早就已经被盗走。
网擎信息(openfind)研发协理张嘉渊亦观察到,过去一年来企业端已逐渐意识到社交工程、钓鱼网站、诈骗等攻击的破坏力,而不再只是单纯当成新闻事件看待。”数字战争的利益导向,诱使黑客日渐猖獗。以前犯罪手法算是抢公司保险库,现在则是数据库、档案库,且不容易被发现。得手后再把数字资产到黑市交易变现,可能还远远超过以往犯罪抢夺的有形资产。”
像是近期出现的cryptolocker勒索软件,一旦顺利入侵计算机系统后,随即加密系统中所有档案,若不依照指示于期限内支付三百美元(约台币九千元)赎金,档案将永远无法恢复。且支付方式是透过比特币(bitcoin)等在线交易,利用网络虚拟支付难以被追踪的特性,来进行犯罪行为。由此可发现,现代化黑客攻击已经不只以apt手法窃取数据,地下犯罪组织经济规模已成形,最终目的即在于藉此获利。
重新检视新型态攻击
现代化黑客攻击具有高度的隐匿特性,想方设法规避各式防御侦测,即使企业内部已建置多层式防护,仍不敌黑客技术。”根据fireeye全球调查报告指出,95%的资安事件,皆是检调单位发现,当然台湾也不例外,这是很可怕的事实。”fireeye台湾区总经理马胜彰表示,就以今年发生在南韩的320黑客攻击事件来看,受影响的银行、电视台等皆属大型企业,不乏最高端的现代化安全防御机制,仍旧被攻击得逞,其实为政府与企业带来不小震撼。根据fireeye对此事件持续研究与观察后续发展,发现这类大规模攻击行为,皆是计划性的预谋犯案。
“追踪这起南韩320事件后,除了深入挖掘出更多先进攻击手法,更重要的是,从该起事件中学习到,既然资安事件势必会发生,不论是政府、民间企业,必须重新省思,依实际的要求而言:需要多快时间可发现遭受攻击、多快反应可把损害降到最低、多快可修复,以此三大要点来检视资安方面的投资。”马胜彰强调。
面对信息科技进步的趋势,it部门需吸收新知建立基本概念,而黑客攻击行为的变化可说是当中不可或缺的一环。如今多数it主管都理解资安投资永无终止,只是思维上,仍旧局限在传统资安工具。马胜彰观察,主要是来自心理因素影响,若it主管承认现有的投资不足以因应新型态攻击行为,需要导入新兴防护机制,例如fireeye来协助,则可能会遭受高层管理的质疑,既有资安建置已投入相当多资源,若坦言仍不足够,恐会被认为是管理能力的问题。
“有时一个对的解决方案,要在企业内部推广时,通常会遇到政治因素问题。所以必须透过许多渠道跟更高层主管沟通,说明这类新型态攻击事件之所以无法被有效控制,并非it人员疏于防范或技术能力问题,而是黑客攻击技术精进之下,仅以现有的建置来抵制,有防御上的极限。”马胜彰强调,像是fireeye采新兴技术提供的解决方案,主要是为了补强现有的资安投资。尽管现在针对已知型恶意软件的特征码辨识技术,已经能防范大部分既有资安威胁,但面对apt这类未知型攻击行为,必须采有别于以往的技术来辨识与抵制。
未知型恶意软件的攻击行为,通常有些特定迹象可循。fortinet技术总监刘乙举例,恶意软件渗入后通常会向所谓中继站(command and control,c&c)联系,但由于中继站必须为动态变换才能躲避侦测,于是恶意软件透过算法或程序中内建的名单一一访查时,经常会出现许多联机失败的记录,而以往多功能进阶防火墙(unified threat management,utm)并没有内建记录这类行为模式,如今则可透过报表或警示来发现。欲察觉出这类可疑行为,it人员必须具备这方面的概念,并搭配相关工具来协助。
移动安全逐步发酵
另一个让it管理者不得不面对的则是byod课题,洪伟淦观察,今年已有许多企业开始陆续进入评估,甚至编列预算准备建置管理机制。其实it管理者并非不了解移动化设备普及后对管理与安全性带来的冲击,只是在应用趋势促使下,如今已不得不管,因为数量持续增加,再加上开始出现应用系统app化,以趋势科技内部信息系统为例,像是请假、签核、视频会议等日常工作系统,皆可至企业内的app store下载安装,在移动设备上即可处理公务。然而毕竟员工私人设备,公司要控管有难度,且不管便罢,纳入管理后便相对会产生责任,而it人员又必须额外掌握众家系统平台相关技术。
“从趋势科技内部信息系统的进化来看,移动化应用会逐步扩及到所有企业,当许多企业已具备时,it部门自然产生压力,这已是不可逆的趋势。”洪伟淦表示。现阶段较多讨论的问题即在于如何管控,尽管市面上已陆续出现基于不同面向的控管方案,不论是从移动设备本身、app的应用、档案内容的管控,都有其不同限制,因此现阶段多数企业还在持续评估较合适的解决方案。
张嘉渊亦发现到,本土的企业主面对员工人手一支智能型手机,大多认为可方便员工工作就好,还可藉此节省公司配置成本。因此现阶段多数人对移动设备最在意的部分,主要是担心设备里存放公司与私密数据,万一设备遗失造成数据外流,于是远程清除机制可说是目前控管方案中较受关注的功能之一。
当然,byod议题下绝非只包括远程清除需求,市场上亦有mdm(mobile device management)解决方案提供较完整的控管机制。只是各地区企业文化不同,造就不同应用情境,mdm也非一体适用。张嘉渊以日本为例,多数日本企业认为公归公、私归私,工作上若需要移动设备,该直接由公司配发,要连入内部信息系统时,则以app启动远程的虚拟化桌面来执行,如此一来,即使设备不慎遗失也不致为公司带来资料外泄问题。
此外,张嘉渊提醒,不论it应用趋势如何变化,只要企业营运业务握有个人资料,就必须因应个资法规范。即使个资法上路后观察目前多数企业尚未有所作为,但是不代表没有需求,解决方案必须要先准备好。至于究竟要多久时间需求才会浮现,若以日本推动个资法案经验来看,少说要五年时间才会真正发酵,相信不会比严谨的日本脚步更快,还有一段路要走。
资安威胁将持续扩大
展望2014年必须留意的资安威胁,马胜彰认为,apt的攻击事件势必会持续发生,今年多数人只是关注议题,在2014年则会逐步实践,因为攻击方不会间断,防守方也必须有所作为。”当然考虑到大环境经济状况,资安设备通常在企业端会被认为是额外的投资,许多企业主都了解资安投资再多也无法达到百分之百,但是切勿认为反正做了也不会有立竿见影的效果,而放弃apt的防御。”
另一种较为积极的想法可能会认为,面对新型态攻击行为要有基本防护机制。对此马胜彰则建议,为了预防内部发生感染后把重要数据打包送出,对外联机管道至少要具备察觉与阻断能力,至于黑客渗透进入的管道,还必须透过强化内部人员的资安意识来协助,对内倡导当收到邮件含有附加档案时,不仅执行档勿任意开启,须留意是否为不明发件人或奇怪的寄件地址,即使主旨内容看似正常,也切勿轻易开启。
除了apt攻击外,刘乙认为在移动设备的普及下,甚至智能型手机的出货量已超越桌面计算机,因此以往在线消费行为将逐渐转向手机,而提供电子商务服务的在线系统,会成为黑客有利可图的目标之一。张嘉渊亦认为,移动设备普及带来的问题在2014年将会持续扩大,除了新平台技术、新应用势必产生新缺口外,现代化攻击行为精密程度已超越预期,甚至已到达企业化经营,因此随着移动付费、消费等交易动作越来越普遍,而设备防御措施却相对薄弱之下,势必会成为黑客觊觎的跳板或标的。
巨量资料助分析攻击
面对层出不穷的资安新威胁,洪伟淦提醒,企业在评估协助防御的资安机制时,必须要留意考虑是否具”跨平台及跨基础架构”的能力。也就是防护机制必须要能运行在android、ios、windows等主流系统平台,同时,不论是实体主机、虚拟主机、公有云、私有云,控管平台必须都可支持。
此外,随着黑客运用的工具更广泛,log分析将越显重要。”当新的攻击模式被证实时,皆是经过分析之后的结果,往后即可依据此结果在big data平台制定数据搜集的规则,一旦资安专家从数据中发现此攻击模式下还有其他不同的应用,即可再增添规则持续搜集,这是一个持续不断的循环,且须不断地强化。”洪伟淦说明。
过去资安防护工具都是仰赖用户回馈来取得数据,现在皆得朝向主动搜集更多信息来分析,因此下一阶段的资安领域会越来越仰赖big data技术来协助。洪伟淦强调,由于黑客攻击行为的在地化程度很高,例如攻击政府、高科技制造业、中小企业,这三种产业的方式完全不同,即使是在其他国家已证实可成功抵挡黑客攻击的模式,复制过来也未必能发挥作用。因此必须要由在地化搜集攻击手法来辅助分析,才能得知如何部署防御机制,以抵挡不断精进的攻击模式。
(责任编辑:)
