中華資安 Incident Response IR ISO17025 NIST SP 800-61 SecuTex CypherCom

檢測服務助力事前評估風險 電信局端機房實作事中防護

依國際標準制定應變流程 定期演練化解資安危機

2022-08-01
因應攻擊手法多變,政府、金融業受法規明文要求逐步提升資安成熟度,近年來除了定期執行檢測外,也增添部署防護、導入SOC/MDR資安監控服務、成立專責單位等措施,至於醫療、關鍵基礎設施、高科技製造業,亦開始理解滲透測試、弱點掃描、紅隊演練等檢測及資安事件應變處理的重要性,讓不同階段的風險得以確實管控。

中華資安國際鑑識科經理劉叡觀察,目前資安成熟度較具水準的政府、金融業,推動因素是法規遵循,高科技製造業則是來自訂單客戶對於供應鏈的要求,須遵循國際資安規範,藉此獲得訂單客戶的信任,提高企業商譽與營收。

近年來探討較多的資安事件應變(IR)服務,可說是中華資安國際的強項之一,其擁有ISO 17025認證的數位鑑識暨資安檢測中心,可提供資安事件應變、數位證據保全、數位鑑識、資安事件應變標準執行程序(IR Playbook)四大服務,IR團隊平均每年處理上百件資安事故,今年大多是協助企業處理APT、加密勒索、資料外洩攻擊,採取緊急應變程序與調查入侵管道。

遵循NIST標準建立應變處理指南

在加密勒索病毒猖獗、資料外洩事故頻傳的狀況下,各行業逐漸開始願意投入資源提升資安防護力,尤其是擁有高經濟價值資料、應用場域停擺將導致巨額損失的企業,除了定期接受資安檢測,內部亦須增添建置完整的資安事件應變體系,便可委由中華資安專業團隊協助落實。 劉叡指出,IR服務遵循NIST SP 800-61 Rev. 2提及的資安事件應變處理指南,把資安事件處理的生命週期分為四個階段,首先是在平時得做好準備,其次是要有偵測資安事件的能力,第三是能夠應變與抑制感染範圍,第四是追蹤檢討與改善,避免類似事件再發生。

他進一步說明,IR團隊首先依據NIST標準來執行差異分析,提交報告中給予建議執行方向,企業高層同意後隨即著手修訂資安事件應變標準執行程序,例如面對加密勒索事件時,首先召開會議、參與人員、運用既有工具嘗試緩解等動作,事先可先行標準化,並執行災害演練,如此才可讓各單位同仁按照交戰手冊執行儘速解決問題。讓企業事先做好充足準備,萬一發生時便可控制損害範圍,降低影響程度。

串連弱點成功滲透入侵

針對去年(2021)國內上市櫃公司共發布16起重大資安訊息揭露資訊,劉叡觀察,儘管上市櫃公司受到法規規範要求落實風險評估與持續改善,但較可惜的是涵蓋面通常不夠完整,存在多種資安缺失,讓攻擊者仍可串連建立入侵管道。例如部署資安防護措施的範圍,可能只著重在總公司,海外據點則不完整,駭客便會挑選防禦力最弱的據點下手攻擊,再伺機透過內網移動到總公司,滲透到關鍵任務系統。

以實際處理案例的經驗來看,加密勒索軟體得以成功感染,通常是串連多個易被輕忽的弱點而成,攻擊者從潛伏在應用場域、摸清IT網路架構與資產,直到控制關鍵任務系統,往往精心佈局至少二個月。絕對不是某個員工遭社交工程郵件滲透,隨後就會立即引爆大規模感染,而是駭客先潛伏搜集資產資訊、取得高權限帳密,以及了解資安防護機制的部署狀況,並在執行攻擊前先解除偵測防護,以免發動過程被破壞。

當企業資安防護的涵蓋面不夠完整,攻擊者發現後即可利用來嘗試滲透,典型案例即企業對外的官方網站,由於僅提供公開的產品或服務簡介,容易被輕忽資安防護,因此經常遭攻擊者植入後門程式,藉此滲透到內部網路,橫向移動並竊取高權限帳密,進而利用混合辦公期間全面開放使用SSL VPN連線存取資源來進行攻擊。此時若VPN未設置雙因素驗證,攻擊者即可順利進入企業內網,再加上內網缺乏隔離機制,便能輕易地完成竊取機敏資料、植入加密勒索軟體。

Telco-Centric上網安全解決方案

中華資安國際是台灣少數可提供Telco-Centric上網資安解決方案的公司,透過從電信機房局端直接阻斷惡意連線、部署保護措施,運用次世代防火牆(NGFW)、入侵偵測系統(IPS)、企業防駭守門員等機制,讓電路用戶得以租用。

在資安專業服務方面,中華資安國際涵蓋事前檢測、事中監控、事後調查的一站式服務項目,連年獲得行政院資安服務廠商服務項目評鑑為A級的資安健診、弱點掃描、滲透測試、社交工程演練,以及SOC監控服務,皆已奠定豐富領域知識。

中華資安國際鑑識科經理劉叡觀察,目前資安成熟度較具水準當屬政府、金融業,推動因素是法規遵循,高科技製造業則是來自訂單客戶對於供應鏈的要求,須遵循國際資安規範,藉此獲得訂單客戶的信任,提高企業商譽與營收。

除了服務項目,中華資安國際亦自主研發SecuTex先進資安威脅防禦系統,可說是技術團隊在處理大量資安攻擊、事件調查與分析後累積知識的結晶。其藉由SecuTex NP側錄網路封包,並解析資料運行檢測與鑑識,整合沙箱技術經由資安專家判讀,可從網路層釐清事前與事中的惡意活動樣貌。搭配SecuTex ED端點檢測工具,以政府組態基準(GCB),提供軟體更新、惡意活動偵測等機制,還原整起入侵軌跡,提高事件調查與鑑識效率。另一項新產品是CypherCom端對端加密通訊系統,為中華電信集團自行研發的軟硬體元件,硬體安全元件保存私鑰已通過FIPS 140-2 Level 3安全認證,安全強度極高,讓企業高階主管放心地透過網路通話,無須擔心遭竊聽。

針對OT場域,例如製造生產、工控、軌道等環境,中華資安國際透過鑑別、評估、感知、制度、防護與監控六個安全防護要點,協助製造業與關鍵基礎設施產業盤點資安風險並持續改善。其中,鑑別是執行盤點資產與權限識別,評估是執行資安健診與風險評估,感知是建立正常行為基準線與偵測惡意威脅,制度是導入國際認可的IEC 62443管理程序,防護是資安架構設計與部署防護措施,監控則是導入7×24小時的SOC監控並建置資安事件應變能力。

劉叡說明,執行方法是依據NIST網路安全框架(CSF),輔以MITRE ATT&CK檢視應對攻擊手法的防禦措施,讓工控網域的資產、網路及整體架構,進行全方位檢測與分析,並擬定改善方案,強化場域防護水準。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!