許多企業都正在將資安「左移」,也就是在威脅生命週期的更早期階段就採取行動來防範攻擊,透過一些措施在攻擊演變成資安事件並造成大規模傷害之前預先加以偵測。這種「保護+防禦」雙管齊下的作法,對於資安循環當中的防範階段非常重要。
勒索病毒是一種「高調」的威脅,當它發作時完全毫不遮掩:駭客會將系統鎖住,並且發出明確的指示要求企業該做些什麼(以及該付多少贖金)來救回他們的資料和裝置。
這正是為何大多數駭客都只會在他們準備曝光時才發動網路勒索,也就是在所有其他目標都已經達成之後,例如將企業資料外傳、建立祕密幕後操縱架構,或是將企業存取權限賣給其他集團。
有鑑於此,許多企業都正在將資安「左移」,也就是在威脅生命週期的更早期階段就採取行動來防範攻擊,透過一些措施在攻擊演變成資安事件並造成大規模傷害之前預先加以偵測。這種「保護+防禦」雙管齊下的作法,對於資安循環(偵測、評估、防範)當中的防範階段非常重要。
了解網路勒索行動的生命週期
所有網路攻擊都是從駭客取得系統存取權限開始,一旦取得存取權限,就會橫向移動至其他裝置和系統,試圖找到企業最敏感或最有價值的資產。最後的結果通常是資料外洩:駭客偷取企業客戶的身分與付款資訊、其他敏感的銷售記錄,或是進一步的攻擊。這些活動都是暗中秘密進行以免被發現,只有在駭客已經將企業的價值榨乾之後,最後一步才是植入勒索病毒。
駭客將網路勒索的動作留在最後,其實是有道理的,因為根據趨勢科技的一份報告「運用資料科學來了解勒索病毒」(Understanding Ransomware Using Data Science),大多數的受害者都不會支付贖金(那些支付贖金的企業,其實是在資助駭客再發動6至10次的攻擊後才屈服)。在大多數駭客心中,最理想的情況是從其他網路犯罪活動上面獲利,贖金則是錦上添花。
當駭客進入到網路內部時,通常會設立一些後門和其他通訊機制,好讓他們能持續進出企業,並回來再次發動攻擊,甚至是在勒索病毒發作過後。這個所謂的維護階段可能持續數個月或更久。
藉由將資安左移、更早採取預防行動,企業就能攔截未經授權的存取、偵測駭客的橫向移動、在勒索病毒植入的很早之前就預先處理網路內部的異常行為。
步驟1:提早保護企業安全
資安左移的第一個目標就是盡可能建置更多措施,從一開始就將威脅攔截下來並阻止駭客進入網路。趨勢科技在一篇勒索病毒系列文章當中列舉了一些企業可用來強化整體資安狀況的措施:強制使用高強度密碼、實施多重認證、控管登入憑證,以及讓應用程式和作業系統隨時保持更新。
沙盒模擬分析是另一個防止威脅滲透企業或太過深入的不錯方法,尤其在收到電子郵件和瀏覽網頁時。在電子郵件附件和網頁在端點裝置上執行之前預先加以過濾或隔離,可以預防惡意程式或惡意腳本進入企業,儘管這樣可能會讓電子郵件和網路效能稍微變慢。
所有以上技巧都能整合至一套可攻擊面風險管理(ASRM)解決方案當中,持續地評估企業的可攻擊面(不論內部或外部)。持續監控之所以必要,是因為可攻擊面隨時都會因為使用者移動、新的裝置、新的威脅,以及企業併購或合作而發生變化。對許多企業來說,發掘未受保護的風險並判斷其優先次序是一項艱困的挑戰:ASRM可幫忙釐清最需要注意的部分。
今日大多數專家都同意,資安風險管理的基礎應該是採用一套零信任方法,尤其在身分與存取管理(IAM)方面,因為使用者的身分天生就不能信任。而延伸式偵測及回應(XDR)技術則是落實零信任原則的絕佳方法,因為它提供了整體企業環境的可視性與控管。
此外,ASRM最好是隸屬於某套全方位網路資安平台的其中一環,如此可降低複雜性,將企業資安架構的所有元素都集合在同一平台上。
步驟2:在威脅已經突破防線時進行防禦
即使擁有了最佳的資安防護,企業也不可能百分之百抵擋每一次的攻擊。所以駭客進入到企業內部是遲早的事。重要的是,企業要能盡早偵測並隨時準備採取行動。這就需要一套事件回應計畫,同時還要將業務永續以及資安險也納入考量。
良好的備援系統以及能迅速啟動的備份機制,就可在駭客攻擊不幸得逞時提供一種快速復原的手段。這對營運關鍵系統來說至關重要,企業應明確找出這些關鍵系統,並列為任何業務永續計畫當中的優先對象。
就如同保護企業一樣,XDR對於一套堅實的防禦來說也同樣至關重要,而且應該包括在事件回應計畫當中。XDR能超越端點層次,涵蓋攻擊可能針對的所有位置,包括雲端基礎架構、網路流量、營運技術(OT)、物聯網(IoT)與工業物聯網(IIoT)部署環境等等。
有了這樣一套計畫固然重要,但企業還必須要有信心這套計畫在必要時能確實發揮作用。這就需要每一位在計畫中扮演某種角色的人員(包括第三方人員)都清楚自己的任務是什麼。此外,這套計畫應該至少每年測試一次,並隨著威脅與業務需求的演變而持續更新。企業也應花時間了解一下他們雲端供應商及軟體廠商的事件回應計畫:他們有怎樣的計畫,以及他們的計畫如何與自己的計畫互補。
採用適當工具將資安左移來對抗網路勒索
一套可支援XDR、以零信任原則為基礎、並且隸屬於某個全方位網路資安平台之下的ASRM解決方案,將為企業提供「保護+防禦」所需的工具,同時還能降低管理多套單一面向產品的複雜性。內部資源有限的企業,可選擇採用託管式XDR服務廠商來建構一套嚴密的「保護+防禦」策略。
藉由將資安左移,企業將比以往更有能力對抗勒索病毒及網路勒索。有了適當的防禦措施,再加上一套明確定義的事件回應計畫,即使攻擊真的滲透了網路,企業也能更快偵測並加以處置。
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>