善用技術工具並採取對策 因應內外部資安威脅 智慧應用 影音
EVmember
Event

善用技術工具並採取對策 因應內外部資安威脅

  • 洪千惠

企業員工竊取個資、研發機密的事件頻傳,為有效防制內部威脅,資安廠商紛紛從不同角度出發,提出對應的監控分析方案,「用戶與實體行為分析」(UEBA)即是其中一例。Micro Focus
企業員工竊取個資、研發機密的事件頻傳,為有效防制內部威脅,資安廠商紛紛從不同角度出發,提出對應的監控分析方案,「用戶與實體行為分析」(UEBA)即是其中一例。Micro Focus

回顧2017年初至今,在上半年期間,發生了幾起備受矚目的資安事件,包括2月期間爆發史上頭一次證券商集體遭DDoS攻擊勒索,緊接著在3月初,多所學校的網路印表機收到恐嚇信件,駭客揚言若不支付3個比特幣,便將發動攻擊以癱瘓校園網路,也算是第一次有學校集體遭到攻擊勒索。

到了5月份,再度出現一個「史上第一」的攻擊事件,即是爆發全球大規模感染的WannaCry,它是史上第一隻勒索蠕蟲,當然台灣也無法置身事外。

短短不到4個月的時間,台灣接連面臨了數起前所未見的資安威脅,幸運的是,儘管一開始雷聲大得嚇人,但最終的雨點卻不算大,也就是實際的災損,比預期輕微不少,尤其是學校遭攻擊勒索事件,甚至僅是虛驚一場,成為IT與資安業界聊備一格的話題而已。而這些波折,反倒激起了若干正能量,比方說人們開始重視多層式DDoS防禦機制,也開始勤於思考如何建立勒索病毒的防護對策,針對員工教育訓練、系統漏洞修補、機敏資料存取控制乃至資料備份等諸多面向,陸續展開實際作為。

歷經WannaCry,企業更懂得防制勒索攻擊

綜觀前述的因應措施,對於防制勒索病毒與保護關鍵數位資產,其實都蘊含深層的意義。以員工教育訓練而論,旨在促使員工一方面知道勒索病毒的風險、感染途徑,二方面當察覺可疑活動時,亦應立即採取必要的適當行動;至於漏洞修補,則務求在任何安全修補程式發佈之後,就在最短的時間內予以部署,把駭客利用漏洞發動入侵攻擊的機率降至最低。

接下來,透過對於機敏資料的限制存取,堪稱一石二鳥的必備妙招,既能防止內部不肖員工輕易帶走公司機密文件,二來即使駭客有意控制內部員工為肉雞,繼而步步進逼機敏資料的所在之處,進行的難度也將大幅提高。

至於備份,儘管偏向消極做法,但畢竟資安防護並無一定100%奏效之理,凡事都得做最壞的打算,所以仍有絕對的必要;對此有業者提出建議,企業宜遵行嚴密的3-2-1原則備份排程,透過至少兩種不同格式,保存三份機密資料的副本,且其中一份副本,務必要放在公司內部網路以外的異地,如此一來,就算真的不幸遭到勒索病毒感染,也至少會有一個備份被保留下來,可藉此延續公司的營運命脈,不至於完全斷了香火。

如果2017年的資安風波,僅止於前述幾次事件,那麼基本上還算是安全下莊。但到了後面這幾月,其實又發生了數起與資安相關的新聞,儘管看起來未必像DDoS攻擊勒索、WannaCry如此沸沸揚揚,但背後值得留意與反思的地方,其實也不算少。

首先可能肇因於上線時程日益逼近,再加上罰則吃重(取決「2,000萬歐元」或「全球獲利4%」較高的一方),業界對於歐盟個人資料保護規則(GDPR)的關注程度,明顯較往常提高不少,畢竟外國公司搜集歐盟公民資料,也在GDPR規範之列。影響所及,包括資料外洩防護(DLP)、資料庫活動監控(DAM)等解決方案,詢問度都比上半年或去年來得高,甚至思考運用機器學習演算法來協助遵循GDPR,總而言之,沈寂許多的個資保護議題,如今已再度活絡。

其次也是與個資相關的事件。某旅行社不僅外洩旅客個資,後續還引發電話詐騙紛擾,身為主管機關的觀光局,也立即要求業者應儘速建立資安防禦機制;儘管事發後,不少人推測是該旅行社的資料庫遭駭客入侵,但資安業者認為,也有可能是內鬼所為,或者是有合法帳號遭竊、淪為駭客跳板,在此情況下,所謂的資安防禦機制,防護範圍應該涵蓋駭客入侵、內賊及人為疏失等不同情境,不宜僅朝向駭客攻擊防護而傾斜。

內部威脅升高,行為監控成顯學

無論旅行社個資外洩事件的真正元兇為何,但至少,內賊是一個可能方向,若是如此,便與另一則新聞訊息有所關聯,只是洩密標的物從個資變成了研發機密文件。

某DRAM公司發現有員工被大陸競爭同業挖角,而這些人涉嫌違反公司資訊安全、員工保密協定等規定,透過以手機拍攝、紙本列印等方法,取走包括無塵室維護運作等機密等級以上的重要營業秘密,且輸送給對岸競爭同業;該公司向地檢署提出檢舉,幾經多時調查,近期全案偵結,相關員工均依違反營業秘密法遭到起訴。

事實上,台灣員工在對岸企業的招手下,開始利用各種方式規避公司防禦體系,成功竊取機密並帶槍投靠的例子,可謂屢見不鮮,無論過去、現在的相關案例都很多,展望未來,諸如此類事件也不會絕跡,使得部份資安業者不免為之憂心,直指企業內部威脅猶如熱帶氣旋,恐持續壯大,甚至傷及台灣產業根基,後續效應不容小覷。

因應內部威脅一觸即發,其實已有不少資安廠商針對這個主題,提出不同的防制方案,綜觀這些方案的內涵,說穿了其實就是持續監控加上完整的軌跡記錄。

有業者認為,不管是個資抑或研發資料、智慧財產,都足以動搖公司營運基石,由於事關重大,當然必須盡全力加以防範;既然這些珍貴的資產都是資料,那麼就應該從資料監控分析的角度著手防禦,相關保護機制含括基礎的資料庫監控,再進一步擴展到應用程式、檔案系統及雲端環境的整體防護,如此才能迅速把發生於不同節點的事件串聯起來,針對可疑的跡象,確切識別是否真的是內部威脅,有效防護企業機敏資料。總之,過往純粹由防火牆或防毒軟體個別組成的孤島式安全機制,已不符現今所需,且對於內部威脅的反制力道明顯疲弱。

另有業者提倡「用戶與實體行為分析」(User and Entity Behavior Analytics;UEBA)。所謂UEBA概念,係由研究機構Gartner於2015年9月所提出,算是一種針對內部使用者存取行為的進階資安分析機制;從字面上看,即不難看出UEBA與早期的UBA(User Behavior Analytics)略有不同,差別就在Entity(實體),也就是UEBA強調的是使用者與其接觸的實體之間的關聯性,藉此掌握威脅脈絡,幫助企業清楚看見風險之所在,並適時展開應變處理。

舉例來說,透過UEBA所勾勒的員工與實體行為軌跡記錄中,發現某天有幾名員工,在淩晨試圖透過公司電腦連結內部系統,搭配其他佐證數據,發現其中僅一名同仁因為籌備隔日的大型活動,選擇留在辦公室挑燈夜戰,確實屬於合法存取行為,但其餘數人根本不在辦公室,此行為便顯得相當突兀,足見背後大有玄機,值得管理者深入探究,看看到底是員工因應在家加班所需,不得已利用翻牆軟體操作內部電腦,抑或遭到駭客入侵。

此外近期鬧得滿城風雨的遠東銀行遭駭事件,已有不少資安專家趕忙分析箇中癥結,但其中最值得商榷之處,仍在於內部個人電腦與國際匯款系統SWIFT主機之間,並未完全做到實體隔離,以致駭客可藉由個人電腦為跳板、輾轉入侵SWIFT,最終成功盜走6,000萬美元。此一事件凸顯不少企業的資安防護基本功,至今依然不夠到位,展望未來更頑強的威脅風暴恐一波波來襲,在此之前,唯有趕緊亡羊補牢,把資安馬步紮得穩一些,才是上策。

關鍵字