近年來台灣產業正當朝向智慧化發展之際,卻發生高科技製造業龍頭遭受勒索軟體襲擊影響獲利,企業開始意識到以往封閉式環境中的資訊系統經由網路串連後,儘管可藉此提升生產效率,惡意程式卻也可能利用各式連網裝置或辦公室環境中的電腦滲透入侵,危害應用場域造成營運損失。本土自主研發硬體式郵件系統與整合式威脅管理(UTM)資安設備的眾至資訊,成立至今已屆滿20年,有相當多製造業客戶,為了協助客戶因應資安攻擊威脅,近來也開始設立內部情資研究團隊。
眾至資訊產品經理王建忠觀察,現階段在工控環境採用IT技術建立自動化能力的同時,卻往往欠缺考量資安風險管控。常見的狀況是廠區的電腦作業系統過於老舊且原廠早已終止支援,即使漏洞被揭露也無從取得更新修補程式,抑或是OT維運人員不具備基本資安觀念,僅關注廠區接取網際網路服務的穩定性,卻忽略了惡意程式可能經由企業內網、辦公區域擴散感染影響各個廠區。
針對經常被攻擊者利用來發送惡意程式的郵件系統,勢必得有防堵機制。王建忠不諱言,內部部署的郵件伺服器發展已經相當成熟,供應商之間的差異並不大,唯有加深當前企業關注的安全防護發展能量,才有機會贏得顧客青睞。「眾至資訊今年積極轉變,除了既有機制之外,如今更有專屬資安團隊解析從惡意郵件中取得的攻擊樣本,進而撰寫特徵碼來協助所有客戶建立防護。」王建忠說。
除了基本內建的防垃圾郵件分析引擎持續更新黑名單,去年推出垃圾郵件學習資料庫,取得客戶同意回饋更多垃圾郵件的相關資料,讓分析引擎得以藉此持續學習,因而能不斷提升判別的準確性。「針對郵件附加檔的已知型惡意程式偵測,眾至資訊設計的硬體式郵件伺服器是採用卡巴斯基的技術來輔助。此外,日前亦增添SandStorm防護機制,也就是運用沙箱技術,模擬執行分析比對入侵指標的Hash值,判別是否潛藏攻擊行為。」
至於用來分析入侵指標的特徵,除了借力全球資安社群合作的資料庫,眾至資訊內部也設立資安分析團隊,藉此累積更多在地產業的實際攻擊手法。王建忠指出,「就近期的觀察,攻擊活動的頻繁度確實超出想像,曾經在同一天解析到相同的攻擊特徵數量總計將近五千筆之多,或許現階段研發資源與能量相較於外商仍有一段差距,至少可讓客戶藉此取得在地化獨特的威脅情報資訊,搭配後續的技術服務,更可有效改善客戶端的防護體質。」
對於預算不多,無法每年每人支付授權費用的中小企業而言,僅投資不到20萬的初始建置成本即可連續使用三年,實質上較雲端郵件服務更具成本效益。為避免一旦硬體發生故障會造成員工的郵件信箱損害,眾至的郵件系統除了既有的高可用性機制,也提供異地備援,在郵件系統發生單點故障時可自動切換到另一地繼續提供服務,以維持服務不中斷。