KATA Kaspersky MITRE Supply-chain attack

端點防護延伸發展垂直領域 保障工控應用場域安全性

增強防護提高安全免疫力 降低各式威脅入侵機率

2020-02-20
因應現代攻擊威脅型態,適時調整防護策略,企業營運風險才得以妥善管控。尤其是在整個狙殺鏈(Kill Chain)攻擊模型中,不同階段中採用的手法變化相當多,甚至開始演進到供應鏈攻擊(Supply-chain Attack),從上、下游廠商中挑選防禦力最薄弱者著手滲透,進而伺機感染關鍵營運系統,除非企業持續監控、及時攔阻,才有機會把損失降到最低。

 

卡巴斯基大中華區售前經理謝長軒分享實際執行資安事件處理的經驗,大致可歸納出三種型態,第一種為快速攻擊,就像是知名的WannaCry勒索軟體,平均六小時內就已結束,即使是發現當下立刻尋求專業資安人力到場協助都已太晚,除非企業內部設置資安團隊,立即反應才能降低損害;其次是盜取機敏資料的攻擊活動,平均時間為一週,其實有機會從蛛絲馬跡中先一步發現;第三種是APT攻擊,極具針對性,欲藉此達到某種惡意目的,平均時間大約為一到三個月,這類型攻擊雖然刁鑽,卻也相對有充足時間找到線索。

他進一步說明,以往攻擊者常發動暴力破解密碼攻擊,系統會持續不斷地產生錯誤登入事件,近來發現的狀況是大約維持三天就結束,看似攻擊者放棄,實際上卻是已經成功取得合法登入密碼。接下來不會再出現任何告警,等到再一次告警時,可能就是機敏資料已經成功被外傳了。「每當重大資安事件爆發,經過調查與鑑識後產生的報告還原攻擊者行蹤,都會發現即便整起活動採用的手法複雜度相當高,在初始階段勢必有蛛絲馬跡,只是防禦方沒有察覺。這也是近年來資安市場開始提供偵測與回應代管(MDR)服務的因素之一。」

專業資安人員可依循MITRE ATT&CK框架執行事件調查,以歸類說明威脅類型。此框架更重要的價值是可讓資安產業基於相同語言溝通並且交換資料,藉此改善弱點環節,提升整體防護力。

為工控場域裝置增添安全機制

隨著產業轉型發展數位化,卡巴斯基近兩年積極發展工控、無人機等垂直領域,鎖定製造業跨入新事業時的難題,亦即並非採用既有的資安控管思維與技術就能確保安全性,必須從底層的硬體製造就開始納入防護能力,實際部署後開始營運才不至於遭遇資安威脅中斷服務。

謝長軒觀察,自動化控制領域可說最不容易被發現攻擊活動,畢竟操作員只會關注工作流程中必須採用的介面,IT管理者則僅相信監控畫面顯示的燈號。「我們的想法是,除了以往的監控模式,應該要運用旁路額外增添監測,概念上如同側錄,可辨識與監看工控環境的設定參數,一旦被異動即出現告警。另一種思維是,欲獲取高經濟價值機敏資料的攻擊者,通常會潛伏到企業內部,並且研究整體IT架構,再制定可成功竊取資料的策略,過程中通常不會發現旁路監控,較有機會挖掘到攻擊者原形。」

以往企業部署方式是先完善營運環境,資安防護則是隨著攻擊入侵事件發生才逐步增添建置,但這種建置模式無法套用到工控環境,因為在運行中的生產線根本無法修改。謝長軒舉例,「以往PLC控制器不具備安全概念,如今西門子提供的PLC,已直接內嵌卡巴斯基的感知器提升防護力。」

現階段的問題是,已經在生產線上運行的舊機種設備,除非替換才得以具備安全機制。在無法替換的狀況下,則可採用白名單、輕量版的防毒引擎來防護。針對企業高度關注的硬體原生漏洞事件,尤其是正在發展物聯網裝置的製造商,安全性應該在產品出廠前就已具備,對此卡巴斯基也已提供Kaspersky OS,可有效提升安全等級。

提高攻擊門檻遏制入侵 

針對企業端應用環境,謝長軒指出,卡巴斯基提倡的是建立安全免疫環境。對於攻擊者而言,成本較以往更加低廉,只要以關鍵字搜尋網路上的資料,即可找到滲透入侵的教學影片,用來執行的工具在開源社群上即可免費下載;相較之下,防護者則必須持續不斷地投資增設最新防護技術。

「所謂的免疫,指的是攻擊者發動入侵活動背後目的主要為牟利,但若為特定企業客製化攻擊工具,其成本高於可獲得的利益時,該『商業模式』勢必不會成形。」謝長軒說。

提高攻擊成功的門檻以遏制入侵,可說是安全免疫的核心理念,必須硬體、作業系統、應用程式,以及人員,全數皆具備才可達成,以本土企業資安成熟度來看差距頗大。卡巴斯基可協助之處,在於設計各種防護機制,演算分析大數據釐清行為軌跡,先一步發現威脅入侵,在企業尚未能達到安全免疫之前,可運用資安技術輔助降低風險。

具體來說,卡巴斯基旗下的端點安全引擎已內建偵測與回應(EDR)機制,可用於輔助蒐集與分析行為軌跡,既有的防護引擎則負責執行端點環境的控管措施,兩者之間相輔相成。經由EDR蒐集取得的資料會統一拋送到進階威脅防護平台(Kaspersky Anti Targeted Attack Platform,KATA),運行機器學習演算分析,依據全球威脅情資、MITRE框架指出異常行為,讓IT管理者執行事件回應標準作業程序。

「目前爭議較多的是究竟由誰來執行,若非為企業IT管理者,就得交由外部服務供應商,對此卡巴斯基亦有提供MDR服務,讓欠缺專業人力的企業得以選用,由資安專業人員協助威脅獵捕與後續的回應處置。」謝長軒說。

卡巴斯基大中華區售前經理謝長軒提醒,MITRE框架最能發揮效益之處在於資料交換,讓資安產業基於相同語言溝通並且實作,進而藉此建立自動防護,IT管理者得清楚實質上用途,切勿被行銷名詞所混淆。

此外,端點安全防護還會進一步整合沙箱設備,藉此提升偵測與防護能力。市場上的沙箱技術主要是由雲端平台來提供,普遍遇到的阻礙主要是對於檔案傳送到外部會有隱私方面顧忌,企業更願意在內部自建部署運行機制。

卡巴斯基把沙箱技術納入端點安全防護範疇,當檔案在第一時間偵測為未知型時,無法攔阻的情況下確實會正常運行,同時沙箱機制可啟動模擬執行環境來分析,一旦發現攻擊程式,可再回頭刪除執行程序與原始檔案。如此一來,該檔案即轉變成為已知型,當其他使用者點選開啟時立即攔阻。

以往APT攻擊鎖定的目標主要為指標性企業或組織,尚未危急到本土九成以上的中小企業,隨著攻擊者採用的工具更加成熟、手法變得多元,也開始轉向防禦力較薄弱的中小企業,以提高獲取利益的成功率,對於預算與人力皆有限的中小企業而言,可選用沙箱設備來輔助降低遭受入侵的風險。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!