當前資安領域廣泛地運用機器學習演算分析攻擊威脅行徑,建構提高偵測準確度的資料模型,同樣的,攻擊者也會藉由錯誤的資料集感染機器學習演算法,妨礙端點防護程式學習系統環境中正常與異常執行程序,導致判斷失準。甚至是運用機器學習來提高社交工程攻擊手法的成功率,讓使用者更難以分辨郵件內容的真實性,達到詐騙的目的。
Sophos香港資深技術總監韋頌修指出,近幾年網路威脅形勢持續演變,進展速度與變化程度較以往更快、更難以預測。在SophosLabs研究人員撰寫的2020年度網路威脅報告中,特別提醒企業須謹慎看待的威脅手法,除了前述開始應用人工智慧提高詐騙成功的機率,必須留意的還包括更加猖獗的勒索軟體、手機作業系統的惡意程式、雲端資安風險、自動化攻擊程式。
利益驅動勒索軟體迄今仍持續演進
首先在勒索軟體方面,主要的區別在於愈來愈多攻擊活動利用常見的工具來執行,許多企業即使平時未採用,卻也未曾禁止,才讓攻擊者得以藉此擴散感染。韋頌修說明,工具本身並非惡意,執行時不會觸發防禦措施,也因此被攻擊者利用來繞過偵測。他舉例,在開始觸發勒索軟體發作之前,攻擊者會先在內網中潛伏,找到最重要的檔案來執行加密,以免執行時被防禦機制快速地阻斷,無法達到勒索的目的。
通常企業認為勒索軟體並非新的攻擊型態,況且有定期備份機敏資料,不至於造成營業損失,殊不知入侵手法持續地變化,可能直接針對備份檔進行惡意加密,企業資安防護必須有所因應。韋頌修觀察,從2013年開始出現CryptoLocker首度採用比特幣支付贖金,演進到近年來的WannaCry,在全球已釀成許多災情,且至今持續在快速變種。「Sophos觀察到WannaCry變種病毒在短短幾個月內超過上萬種,但是卻未造成大規模感染的災情,其中一項因素在於所幸WannaCry快速變種過程中產生新的Bug,僅可感染尚未安裝修補程式的系統,卻未能執行加密。儘管如此,企業仍不容小覷,攻擊者正在研製更多勒索病毒以獲取利益。」
SophosLabs研究發現的威脅,其次是攻擊者已逐漸針對行動裝置找到新的獲利方法。韋頌修說明,主要手法是利用免費下載的App,預設為試用,期間過後就得扣款,使用者通常以為移除即可,待收到帳單才發現,不僅得移除App,同時要登入該公司官網,把帳號刪除後才不會被扣款;另一種是惡意廣告軟體家族Hidden,主要運行在Android系統,不定時地會彈跳出廣告資訊。
管理工具與威脅情資保障雲端安全性
至於雲端資安風險,主要是來自設定錯誤導致資料曝光。企業採用雲端服務的數量正在逐年增長中,過程中經常發生的問題,首要是IT管理者對於雲端平台的操作介面不夠熟悉,可能只是簡單的設定參數錯誤,導致機敏資料曝光。隨著企業採用雲端服務的數量逐年增長,為了避免操作或設定配置錯誤導致資料曝光,可視化能力成為必要的措施之一。
「Gartner於2018年發布前十大資安專案中提到,市場上出現新的管理工具稱為雲端資安狀態管理(CSPM),例如Sophos Cloud Optix,藉此讓IT管理者掌握雲端環境資源的用量、存取行為、配置狀態等資訊。」韋頌修說。
SophosLabs研究報告中提及的自動化攻擊程式,如今已是攻擊者慣用的伎倆,只是隨著自動化程度持續精進,透過不斷地嘗試登入網站系統來竊取登入帳密的成功機率隨之增加,得以合法的竊取機敏資料,抑或是透過遠端桌面滲透網域控制器,藉此取得最高管理者帳密,派送勒索軟體快速地感染多台主機。
除了揭露最新攻擊威脅報告以外,SophosLabs亦基於30多年研究成果所累積的龐大情資,日前發布SophosLabs Intelix服務開始在AWS Marketplace上架提供,讓開發人員可藉由RESTful API介接,查詢已知的惡意檔案雜湊值、URL、IP地址等相關資訊,或是運用機器學習模型分析,若提交檔案還可進一步以沙箱模擬執行,確保檔案安全性。
新推代管服務補足資安人力缺口
因應攻擊策略與手法變得更難以辨識,Sophos在Synchronized Security架構中,除了既有端點防護Intercept X已搭載EDR,解析行為模式及早發現未知型攻擊威脅指標,並且基於MITER ATT&CK框架,讓IT管理者藉此掌握影響狀態。去年Sophos透過併購再提出Cloud Optix與MTR(Managed Threat Response)服務,前者是源自Avid Secure發展的雲端資安狀態管理技術,後者是取得Rook Security專業資安團隊與DarkBytes的資安協調、自動化與回應(SOAR)平台,整合提供的服務。
Sophos技術經理林子涵說明,Cloud Optix重點在提供合規性檢查與事件監控,例如PCI DSS、HIPAA、GDPR等國際規範,運用人工智慧與自動化功能,簡化公有雲應用的合規性、治理和安全監控。「本土銀行開始逐步開放採用公有雲服務之後,Cloud Optix即可提供相關協助。至於MTR服務,相較於市場上既有的偵測與回應代管(MDR)服務,Sophos MTR的服務模式定義較為明確。」
他進一步提到,企業對於資安防護向來較傾向內部自主掌控,因而導入EDR工具期能強化攻擊活動偵測率,實際上卻發現,若非為專業資安人才,根本難以判讀分析報告指出的問題點。為了補強企業普遍欠缺資安人力,市場上才出現MDR服務。Sophos提出的則是MTR,區分為三種回應模式,首先是及時指出具體的問題由IT管理者執行處置,其次是MTR團隊協同合作處理,第三種是授權MTR團隊偵測到問題當下逕行處置,並且提出完整報告。針對難以釐清善惡的行為模式,正是MTR可發揮之處,專業資安團隊基於機器學習與人工智慧的SOAR平台,可持續監控蒐集取得的資料研判異常行為之處。
部署在網路閘道端的防火牆設備,亦是Sophos Synchronized Security整體架構中,搭配端點安全機制建立聯防體系不可或缺的要角。林子涵指出,Sophos多年前透過併購Cyberoam取得NGFW的技術,持續投入研發,預計最新的18版將在2020年推出,底層從代理模式改採用DPI來執行。為了進一步提升韌體改版後的效能,2020年年底預計再發布新的硬體,基於既有的x86平台發展,設計以ASCI與CPU並存。屆時搭配端點安全整合運行,更可滿足較大IT環境應用所需。