Symantec Broadcom Symantec Endpoint Protection Integrated Cyber Defense

基於雲端服務統一管理與監控 降低維運成本與複雜度

搭建整合式資安平台 共同打擊進階威脅入侵

2020-02-20
在2019年資安市場最受到關注的併購案,莫過於成立至今已超過35年、在台灣已累積眾多企業用戶的賽門鐵克(Symantec),被通訊晶片大廠博通(Broadcom)以107億美元現金收購;至於消費端品牌Norton,以及LifeLock等產品,則是改為NortonLifeLock公司繼續營運。

 

儘管企業端全產品線幕後股權已易主,賽門鐵克首席技術顧問張士龍表示,研發的腳步卻未曾停歇,繼SEP(Symantec Endpoint Protection)地端最新14.2版之後,SEP 15則是在賽門鐵克整合式網路防禦(Integrated Cyber Defense)平台中扮演關鍵角色,皆按照原計畫持續發展中。甚至為物聯網環境的實體安全,亦設計提供Symantec ICSP(Industrial Control System Protection)實體設備,主要用於確保隨身碟安全性。

張士龍說明,之所以研發Symantec ICSP,也是因應企業需求,特別是OT場域,例如修補更新程式通常是透過隨身碟接取USB連接埠來執行安裝,問題是藉此引發病毒感染的事件相當多,因此多數OT場域已經開始要求隨身碟必須經過掃描驗證過後,才可接上場域中的機台執行操作。Symantec ICSP不僅可執行掃描,驗證通過後會附上標籤,若隨身碟接上機台後,作業系統中的代理程式並未偵測到驗證標籤,該隨身碟將無法被掛載,藉此把關安全性。

勒索軟體演進為針對性攻擊 

截至2019年已經推出24期的賽門鐵克網路安全威脅研究報告(ISTR),2020年並未發布,不過張士龍仍針對過去一年來本土企業資安現況,提出觀察重點。首先是勒索軟體大量轉向攻擊企業,甚至極具針對性,其中一項因素在於企業端較消費者支付贖金的機會更高。

「過去一年來發現的勒索軟體做法,更偏重於全面性的滲透,而且都是在同一時間大規模的發作,意思是,不像以前零星地加密勒索主機,而是滲透成功後先行潛伏,感染途徑則可能透過釣魚郵件、惡意網站連結等方式。」

張士龍說明,通常橫向擴散感染的目標大多是Active Directory網域伺服器,藉由最高管理權限的帳密派送勒索軟體到各個端點,以迴避多重防禦技術的攔阻,通常會在接近離峰時間大規模發作,達到勒索的目的。攻擊者發動的策略是以企業主願意支付贖金為核心,計畫性地逐階段滲透,而非以往隨機地感染個別企業員工。畢竟遭受勒索軟體感染的端點,只要檔案有定期排程備份,IT管理者可能視為個案,選擇重新安裝作業系統之後再備份還原,既無須向高階管理層報告更不會支付贖金。若為大規模感染、同一時間發作,極可能導致營運業務被迫中斷,如此一來勢必驚動高階管理層,才有機會得到贖金。

這類事前擬定計畫,滲透成功後先行潛伏,橫向擴散到達一定規模後同時間發作的攻擊手法日漸增加,在2020年勢必還會持續發生,企業必須有所警惕。

產業轉型同時須正視雲端風險管理 

其次是雲端安全事件將隨著用量增長持續發生。近年來本土企業積極推展的數位轉型,雲端服務可說是其中的要項,如今多數企業IT環境呈現地端與雲端服務並存的狀態,在混合雲的架構中,地端本就已經建置許多資安防護機制,員工在企業外部欲存取資源必須經過加密連線、身分驗證等多重檢查關卡,已是相當成熟的技術;雲端服務的特性是可隨需啟用,方便之餘卻接連爆發誤操作導致資料曝光的事件。

張士龍曾接觸實際發生過公有雲平台不當配置、操作錯誤導致資料曝光的客戶,深入了解操作錯誤何以導致資料曝光,主因在於雲端平台上的安全防護政策難以落實,畢竟地端有多層式防禦,雲端環境則難以實踐。再加上部署在雲端平台上的應用服務,架構往往較為複雜,通常會介接其他外部服務整合運行,問題是,有能力完全掌控的人才並不多,只能從錯誤中學習經驗。另一項常見的因素是業務部門採用雲端服務的用意是為了便利、提高生產力,安全性問題經常不在考量之列,企業制定的資安管理範疇中尚未納入雲端服務採用規則之際,IT人員亦無力介入控管。

第三個重點是第五代行動網路通訊(5G)的安全性。例如儘管5G的傳輸頻寬提升、延遲時間大幅降低,眾所皆知,覆蓋率卻不如4G LTE,電信商可能會把語音與資料,兩者切換遞送,在覆蓋率較差的環境,可能會搭配Wi-Fi來補強。「這種切換傳輸模式的漏洞,攻擊者勢必已經開始研究,屆時影響所及,甚至不只是以往認知的資安事件,而是性命攸關的事故。」張士龍說。

整合式網路防禦降低資安複雜度 

同管道皆可取得即時資料,進行分析檢查,一旦攔截到未知型檔案,經過閘道端的沙箱功能模擬分析明確指出威脅指標,不僅可直接逕行阻斷,還必須進一步通知端點環境的防護機制,立即增添偵測攔阻能力,如此才可發揮聯防效益。

張士龍強調,這也正是賽門鐵克近年來發展重點。賽門鐵克在端點環境中設計提供Hardening技術,把所有應用程式先行分類,並且區分成已知為善意與惡意,若無法辨識則屬於未知,企業可自訂政策,當偵測發現未知型檔案時,運用Hardening技術限制該檔案的執行權限,例如禁止修改註冊機碼、系統核心檔案等行為,除非已經被確認為善意,並列入白名單,才解除限制。

賽門鐵克首席技術顧問張士龍表示,SEP端點防護設計的雲端與地端管理介面的差異,主要在於功能性方面,雲端版本會以簡單操作方向設計,例如提供實際部署範本,讓IT管理者選擇套用即可配置完成。

此外,賽門鐵克整合了多家併購取得的技術,例如Blue Coat、Fireglass等,提出整合式網路防禦(Integrated Cyber Defense)平台,其中包含資訊防護、威脅防護、身分管理、合規性等項目,涵蓋端點、網路、應用程式,以及雲端情資為後盾,所整合而成,並且還可協同第三方合作夥伴,以降低資安架構的複雜度,保護企業免於遭受攻擊威脅所害。

整合式網路防禦設計以統一的管理介面,即可掌握來自不同控制點所蒐集的資訊,較特別的是,賽門鐵克旗下的SEP、資料外洩防護、網頁應用安全、郵件安全機制,同時也是蒐集器,基於賽門鐵克ICDx(Integrated Cyber Defense Exchange)定義的屬性、物件、事件類型與類別,以標準化格式進行資料蒐集與交換,並且提供API介接企業既有的SIEM平台,解除異質資安技術的資料孤島問題,提高可視性與資料分析能力。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!