著眼於企業在數位化過程中,必須同時有建構多層次防禦體系的能力,具備自主研發能量的合勤科技,近年來以既有的網路領域知識為基礎,積極研發設計整合資安防禦機制並提出Zyxel Security Cloud架構,用以確保數位應用環境的網路連線品質與安全性。
合勤科技資深經理薄榮鋼指出,所謂現代化的多層次防禦體系,不僅是採用傳統防毒引擎、入侵偵測與防禦、防垃圾郵件等機制來防堵威脅,更須搭配Geo-Enforcer偵測惡意來源、Malware Blocker控管殭屍網路、雲端沙箱等技術,當使用者對外發起連線存取請求,但無法判別網站為善意或惡意,即可藉此輔助分析與判斷。假設是下載回到本地端的檔案,經過分析辨識為未知型,則可遞送到雲端沙箱運行檢測取得更多資訊,進而比對即時情資,主動進行阻絕。
重新審視數位應用潛在弱點
多年來業界探討未知型攻擊手法的因應之道,主要會以沙箱技術模擬執行分析為主軸,薄榮鋼認為,經過多數企業實際驗證後發現沙箱仍有不足,還必須結合跨領域的即時情資,近來合勤科技提出的Zyxel Security Cloud,即是為資安架構建立大腦,整合內部與外部情資的大數據,運用分析增添智慧,降低已知型或零時差攻擊成功的機會。
參考美國國土安全部所屬工業控制系統緊急應變小組(ICS-CERT)近年來所統計的攻擊事件,薄榮鋼指出,邊界弱點幾乎每年皆為榜首,也就是防火牆控管範疇。另一個常見的狀況是登入身份管理與認證遭偽造,以合法掩飾非法來入侵人機介面。
他以工控環境為例說明,IT部門主要負責維運管理前端人機介面,配置設定完成狀態指標參數後,接下來會依據工作流程劃分場域,其中即包含OT(操作技術)環境的實體感測器、製程機台等設備。
在整個工控系統的網路資安弱點分析中,只有邊界弱點是利用IT環境來入侵,成功進入後在工控系統環境中植入後門程式以便讓攻擊者遠端登入。近年來亦有發現實體登入式攻擊,實際上的案例即是高科技製造業廠區遭WannaCry蠕蟲感染,由於在OT環境中沒有建立隔離機制,感染範圍相當廣泛,整個網路廣播區域的產線機台皆無法倖免。
畢竟機台必須掌控所有生產線運作狀態資訊,OT管理者在意的首先是派送參數調整命令時,必須確保最低延遲性,其次是可快速地排除問題,因此不會在網路傳輸環境中額外建立屏障。再加上以往機台系統多數不會安裝修補更新程式,此時資安領域中相當常見的虛擬補丁(Virtual Patch)的建置即可發揮功效。
「現階段廠區的機台流量並不大,行為模式較辦公室環境更加單純,導入建置的防火牆吞吐量通常遠高於需求,即便採以In-line架構也不至於發生傳輸瓶頸問題。合勤科技既有提供的USG系列統一威脅管理(UTM)設備不僅可協助建置虛擬補丁,還可搭配主機存取控管政策、白名單等機制攔阻惡意程式,以確保流量可視性,建立基本的安全保護能力。」薄榮鋼說。
須留意的是,新的資安部署架構也可能帶來前所未見的風險。欲確實防範已知型攻擊威脅,勢必得定期更新特徵碼資料庫,才能跟上惡意程式變種的腳步。問題是,防火牆若得以直接接取網路執行更新作業,攻擊者也可能藉此管道滲透入侵。為了降低風險性,薄榮鋼建議運用快取伺服器建立內部特徵碼更新機制,以實體隔離來防範攻擊。此外,大量部署防火牆之後的維運工作,勢必得有能力整合至單一控管平台,才可降低出錯率與提升效率。
雲端服務運行機器學習大數據
合勤科技提出的Zyxel Security Cloud架構,是由地端的ZyWALL ATP與USG系列防禦設備,搭配建置在AWS雲端平台上的SecuReporter服務所整合而成。在Zyxel Security Cloud中建置的資料庫,除了取得來自第三方所提供的靜態特徵碼、信譽評等、威脅入侵指標等即時情資,同時具有沙箱技術模擬分析取得的動態資料,進而運用機器學習技術持續地分析大數據,來提升偵測辨識能力。
「ATP設備本身內建的儀表板介面即可呈現內部流量掃描與威脅統計資訊,SecuReporter雲端服務則是進一步整合,並且餵入外部即時威脅情資,亦可交由提供管理服務(MSP)的經銷商,遠端監控客戶端的運行狀態。此外,實體設備也可藉由自建的SecManager虛擬化版本,簡單地建立Mesh VPN,並且監看傳輸流量。」
|
▲Zyxel Security Cloud整合地端ZyWALL ATP與USG系列防禦設備,搭配建置在AWS雲端平台上的SecuReporter服務,運用機器學習技術持續增添智能。(資料來源:合勤科技) |
薄榮鋼進一步說明,為確保高可用性(HA),提供的建置模式包括同時建置兩台實體設備,設計以連線同步方式,在單點失效時可立即切換到另一台,解決發生斷線時使用者連線必須重新載入的狀況。其次是基於兩條電路互為備援,以及確保VPN連線可用性。
地端的ATP與USG實體設備會主動解析流量,當發現無法辨識的檔案,則上傳到Zyxel Security Cloud,詢問靜態與動態資料庫,若仍舊無法得知,再拋轉到雲端沙箱中模擬解析。若發現為惡意程式,會立即通知SecuReporter雲端服務,觸發告警訊息,同時關聯出該未知型檔案所產生的來源IP位址、存取者、時間等相關記錄,讓IT管理者藉此建立追蹤清單。
面對未知型檔案,較為嚴謹的防護機制是先攔阻,必須經過沙箱模擬分析確認安全後才放行,問題是這樣勢必得等待一段時間,合勤科技設計的ATP搭配SecuReporter雲端服務機制則是先予以放行,以免影響用戶體驗,再基於SecuReporter追蹤能力通知ATP設備問題點,不僅讓IT維運人員提升修復的效率,亦可藉此把未知型檔案轉化為已知,加速提升辨識能力。
SecuReporter雲端服務之所以能指出問題點,主要因素在於除了蒐集取得閘道端的系統與流量日誌檔案,亦包含使用者登入認證接取網路服務後的存取行為,萬一不幸遭受惡意程式感染,才得以有效率地提供調查所需的人事時地物相關資訊,以釐清遭受惡意程式感染的行徑。
「實際在客戶端驗證測試的經驗來看,若遭遇的針對性攻擊手法與惡意程式具備區域特性,在地業者的資安解決方案反而更能發揮優勢,例如台灣長期以來遭受中國網軍襲擊,自然較了解攻擊方常用的技術、策略與程序。」薄榮鋼說。如今整合雲端平台,更可協助蒐集彙整大數據,依據風險等級制定處理優先順序,以提升分析、偵測,進而提升執行回應的能力。