自2019年資通安全管理法(簡稱資安法)上路後,明文要求政府單位與關鍵基礎設施業者必須設立資安長,使得近兩年來資安專業人力需求大幅增長。從日前震驚全台的能源領域內部身分驗證伺服器遭滲透成功,使得攻擊者得以藉由合法的政策派送勒索軟體到多台終端可發現,設立專責部門立即回應處置,才是降低損失的關鍵要務。
就本土資安環境來看,中華資安國際總經理洪進福指出,法規向來是主要的驅動力,其次則是外部威脅不斷加劇,除了2018年台積電晶圓廠遭WannaCry感染引發社會關注,日前關乎基礎民生所需的中油也遭受勒索軟體感染,就連經營管理為標竿型企業的台塑集團同樣無法倖免,大眾開始意識到,惡意軟體威脅確實必須面對,特別是智慧化應用場域,高度仰賴新興資訊科技,讓企業不得不正視外部威脅潛在的風險。
此外,新科技也會為資安帶來一定程度的風險,今年(2020)各家電信公司陸續開台的5G,預期將掀起物聯網等新型態應用場域蓬勃發展,初期勢必無法完善資安控管措施,畢竟新科技本就是為了全新目的所設計,難以事先兼顧所有安全性措施,除非實際部署運行後才會被攻擊者挖掘發現缺口,趁機滲透入侵控制主機。即便不是新型態應用場域,既有的資訊系統也隨時可能被攻擊者找到新漏洞。因此洪進福強調,資安/IT管理者必須意識到防禦措施得持續不斷地被強化,而非僅停留在當下的防護等級。
局端防護企業上網資安
勒索軟體之所以能夠滲透成功,不外乎透過釣魚郵件或對外服務被掃描出漏洞進而成功滲透到內網,駭客先行潛伏取得高權限的帳密後,以合法行為大規模擴散。對於九成以上的中小企業、新創公司而言,IT人員往往嚴重不足,平日維持網路、資訊系統正常運行,解決終端用戶工作環境的各種疑難雜症,就已經相當忙碌,根本無暇因應以不法利益為目的的外部威脅。中華資安國際協理陳怡如認為,這正是資安託管服務供應商(MSSP)可發揮之處。
「中小企業很難如同政府、大型企業般設立資安團隊,更多狀況是根本沒有設立專屬IT人力,以成本結構來看確實合理,但面對勒索軟體不減反增的狀況,便須藉由MSSP協助因應。例如本就租用中華電信的電路,可直接在局端偵測進行防禦,把資安防護交給專業資安服務廠商,來因應攻擊威脅。」陳怡如說。
即便中小企業願意投資部署資安技術,往往也欠缺專才維運發揮功效,針對這類型的缺口,中華電信旗下的中華資安已提供企業上網資安服務,包含部署新世代防火牆、先進網路防禦系統等設備,協助增強防護,並由中華資安來負責維運工作。中華資安的監控中心(SOC)設有專業團隊7×24監控,在偵測到異常行為時便會予以攔阻與發出告警通知,讓中小企業無需額外資本支出,以月費方式建立防護力。
涵蓋前、中、後的資安專業服務
除了結合電路的企業上網資安服務,中華資安更具優勢之處在於專業服務項目,包含事前檢測、事中監控、事後調查與應變措施。洪進福表示,「行政院資安處每年進行的資安服務廠商評鑑,類別涵蓋SOC監控、資安健診、滲透測試、弱點掃描、社交工程郵件測試,中華資安可說是國內資安服務廠商中唯一連續多年全數5項皆被評為A級的廠商。」
政府制定的資安共同供應契約,過去都採最低價格標而不論能力好壞,例如執行滲透測試服務,每個網站的費用為固定,讓各單位可直接挑選下單採購。但是去年(2019)開始做了重大改變,評鑑資安服務廠商的等級,以A、B、C、D等級區分,接下來,規範政府A級機關只能選擇評鑑為A級的服務廠商,準則是服務廠商的級別不可低於單位資安責任等級。
此外,中華資安亦有提供顧問服務,例如輔導ISO 27001資訊安全管理系統(ISMS)認證、PKI建置。陳怡如說明,自從中華資安成立後,提供服務的同時也持續強化自有產品開發,且已經陸續開始發布,例如SecuTex全時封包側錄與網路偵測設備,以及情資分享平台、弱點管理平台、社交工程郵件平台、通訊加解密技術等,皆為中華資安自主研發。
推MDR及早應變緩解風險
全時封包側錄用意就如同網路環境的行車記錄器,洪進福說明,部署位置是在企業IT或關鍵基礎設施環境的閘道端,目前已經具備一定程度的智慧化,意味著無須人力時時監控而是系統自主偵測異常活動。萬一發生資安事故時,亦可成為數位鑑識的工具還原現場狀況,以便鑑識人員查看滲透軌跡,快速地釐清滲透入侵的根本原因與損害範圍。
「SecuTex在當前市場上的分類屬於網路流量分析(Network Traffic Analysis,NTA),目的不必然是偵測滲透入侵,過去IT人員常用的Sniffer是側錄後拆解封包,本身是設計給工程師用的工具,SecuTex則是輔助非專業資安人員分析的工具,部署之後會主動判讀正常或異常。」洪進福說。
最近爆發的重大資安事件,皆非為典型惡意程式滲透手法,例如可能是用戶帳號的弱密碼所導致,讓攻擊者得以採用正常行為進行滲透,根本無法被資安防禦措施偵測發現。另一方面,企業對外提供服務的網站應用程式被發現漏洞,攻擊者利用來當成跳板進入內網,可成功迴避防禦措施,SOC團隊監看時亦無從察覺。
對此洪進福認為,惡意程式建立灘頭堡時或許難以被偵測,但是在攻擊活動到達橫向移動階段時,理應要有機制可發現,問題是,傳統SOC蒐集資料的範圍並未包含端點活動,在涵蓋範圍不夠廣泛之下,可視性始終有盲點。對此市場上興起MDR(Managed Detection and Response)服務型態,「中華資安日前亦開始提供MDR服務項目,攜手端點與閘道端技術供應商例如FireEye、Carbon Black、趨勢科技等,在端點上部署代理程式,蒐集資料拋送到大數據平台,彙整既有閘道端持續地解析封包累積的資料,如此一來,才有完整的可視性能力,再藉由機器學習演算分析輔助,來補強企業欠缺的威脅偵測與應變能力。」