全球壟罩在COVID-19疫情陰霾之下已逾一年半,歐美地區近期再次攀升的確診人數已經證實,即使提高施打疫苗覆蓋率,仍無法完全遏止Delta變異株蔓延,所幸目前本土疫情漸獲控制,今年(2021)5月中發布的三級警戒得以降級,企業全面居家辦公也陸續改為分組、異地等混合式工作模式。對IT部門而言,滿足混合工作需求、確保營運不中斷已是當前重要任務,同時得加速提升企業整體數位化程度,以及保障資安無虞,對於人力配置本就不多的資訊單位形成極大的挑戰。
也因此,國際間因應疫情升溫興起的資安偵測及處理代管式服務(Managed Detection Response,MDR),近來開始大受本土企業青睞,例如NEITHNET騰曜網路科技自主研發的NEITHSeeker,基於NEITHInsight豐富的威脅情資(Threat Intelligence),搭配端點偵測與回應(Endpoint Detection and Response,EDR)技術,由專業資安團隊主動監控網路與端點活動狀態資料,持續分析、判讀、追蹤異常跡象,正可協助企業IT降低混合式工作衍生的資安風險。
滾動式調整控管措施 因應疫情時代工作模式
回顧台灣三級警戒,全民居家辦公期間,NEITHNET技術經理Peter觀察,多數企業主要仰賴VPN連線回到內網存取資源,以便執行日常工作任務。資安控管較嚴謹的企業,會在統一配發的筆電作業系統環境,藉由Active Directory網域服務套用群組原則物件(Group Policy Object,GPO),禁止員工在作業系統環境任意安裝軟體。只是此機制並非萬無一失,例如員工下載免安裝的綠色軟體操作執行,其中夾帶的惡意程式仍能在背景回呼到中繼站。
另一種是工作性質須接觸內部機敏資料,通常企業會在內網部署完整的保護措施才允許存取,保險業即為典型的案例。然而居家辦公期間必須讓員工遠端登入存取顧客資料,在欠缺有效管制技術的狀況下,只好簽訂保密切結,要求員工妥善保管資料以免外洩被追究責任。但這種做法終究難以高枕無憂。
「如大型的企業,提供的是桌面虛擬化(VDI)環境,員工登入回到內網存取的任何檔案,皆保存於公司內部,安全等級較高。問題是缺乏資源的中小企業較難以做到。」Peter說。台灣企業以靈活效率著稱,資源大多優先投入確保生產力,有餘力才會補強資安防護。台灣一年多以來疫情和緩,多數企業未曾真正實施全員居家辦公,直到歷經三級警戒震撼教育,才發現IT控管措施必須不斷滾動式調整,否則無法因應遠距工作衍生的資安風險。
PCR快篩服務全面性盤查 免於遭駭卻不自知
近幾年資安已成為IT的顯學,各界專家從接連爆發的勒索軟體或資料外洩事故中實戰分析,也得知駭客組織為了獲得最大利益,普遍採用進階持續性滲透攻擊(APT)手法,企業的多層次防禦體系終將會被突破。Peter建議,一旦發生資安事件,務必須委由外部資安專家協助事件調查與鑑識,確實追溯最初感染的源頭,持續修補可被利用來滲透的弱點,提高資安體質才可免於再度受駭。
面對在疫情衝擊下成形的混合式工作模式,資安風險其實並不容易實作控管。Peter以實際採用NEITHNET MDR服務的客戶舉例,日前本土疫情擴散,員工居家辦公採用Telegram通訊軟體討論工作事項,不料有名員工透過搜尋引擎在網路上發現宣稱官方提供的中文化程式,於是下載執行安裝,且作業系統環境的防毒軟體並未偵測到威脅,但是NEITHNET的EDR卻發出告警通知檢測到惡意程式。經過資安實驗室(NEITHCyber Security Lab)分析,程式執行後確實可把Telegram轉換成中文介面,但卻同時還增加三隻惡意程式,並且連線到外部中繼站,所幸EDR即時偵測到並發出告警,隨即順利被資安團隊清除,否則恐成為攻擊者遠端操作執行騙取帳密的惡意工具。
有鑑於此,NEITHNET近期協同經銷商擴展MDR服務能量,期望是幫助中南部的傳產企業也能藉由MDR相關技術找到內部潛伏卻未被偵測發現的攻擊活動,搶在資安事件爆發前清除惡意程式。Peter強調,當居家辦公緊急措施解除後,藉由NEITHNET提供的「PCR快篩服務」(Professional, Consultative, Risk-management)進行全面性盤查,才可免於遭惡意程式入侵卻不自知。