文章提供:图文资通组

文章来源:https://www.bnext.com.tw/article/51654/predict-defect-prevent

对抗勒索软体 企业应打造从预测、防御、侦测到应对的安全循环

发佈日期:2018/12/17     消息来源:数位时代

2018.12.17 Sponsored Content

自从WannyCry在2017年一战成名后,勒索病毒就成为企业最担心的资安风险之一,因为勒索病毒攻击的对象正逐渐从个人转移至企业身上。

台湾二版高级产品经理卢惠光指出,个人所拥有的资料大多是照片、影片或一些重要档案,对骇客来说价值有限,再加上云端储存/备份服务的供应商越来越多,民众要做好资料备份其实不难,这使得骇客要透过勒索病毒的方向民众诈取钱财,变得越来越不容易。

反观企业就不一样,企业拥有很多与营运息息相关的重要资料,虽然也会进行资料备份,但往往碍于预算,导致备份不够完整,这种状况在中小企业尤为常见,相对而言,骇客想要诈取钱财也容易许多。也因此,勒索病毒渐渐出现针对性,从早期乱枪打鸟式的盲目攻击,转变成针对特定企业去设计、传播的攻击手法。

虽然经过这一两年的病毒攻击事件洗礼与市场教育,大多数企业都已瞭解勒索病毒攻击的严重性,也愿意规划相应防御机制,但整体而言仍旧不够完善。因为企业的防御思维大多从防毒角度出发,希望透过资安解决方案拦截勒索病毒,忽略该做全面性思考,导致防御效果有限。

「这一点其实反应出台湾企业在资安防御上的盲点,」卢惠光语气肯定地说。他进一步以Gartner在2015年提出的自我调整安全架构(Adaptive Security Architecture)做说明,大多数台湾企业都将资源集中在防御(Prevent)侦测(Defect)两个面向上,很少注意到预测(Predict)应对(Respond)的重要性。

应用Gartner自我调整安全架构 打造不断循环的防御框架

在Gartner自我调整安全架构(Adaptive Security Architecture)中,预测、防御、侦测、与应对四道程序,是一个不断循环的过程,藉由这样的循环框架,可以避免企业将资源集中在相同领域的资安解决方案,真正有效地因应各种资安攻击。

所谓「防御」指的是在资安威胁进入企业内部系统前,事先拦截或挡下。「侦测」则是假设企业已经处于被攻击的状态中,透过侦测机制来发现那些逃过防御机制的资安威胁。「应对」主要在分析被检测出来的攻击事件,例如:威胁种类、攻击来源、攻击路径等,并规划新的防御机制,避免相同问题重复发生。「预测」则是从外部骇客攻击行为中学习,找出对现有系统具有威胁性的新型态攻击,并将讯息回馈到防御与侦测端。

以前述勒索软体攻击为例,防毒软体就属于防御类的解决方案,但是勒索软体会变种与翻新,所以企业不能只靠防毒软体,还需要加强「应对」机制,才能即时找出未被发现的勒索软体。举例来说,

例如,结合云端沙箱去分析未知软体或档案的行为模式,或是导入端点侦测与反制系统(Endpoint Detection and Response,简称EDR),找出在端点电脑的潜在威胁,并加以阻断、清除恶意软体。

善用资安解决方案 强化「应对」「预测」机制

卢惠光强调,云端沙箱的优势在于连网,一般内建在资安解决方案中的沙箱,虽然也可以判断软体安装或档案开启后有没有恶意行为,但有些勒索软体会被设计成延迟发作,以躲过资安解决方案的检测,例如:当可以连网时再连到Botnet下载恶意程式,而云端沙箱因为本身就处在连网环境下,所以能让勒索软体无所遁形。

目前台湾二版动态威胁防御(ESET DYNAMIC THREAT DEFENSE ,简称EDTD)解决方案,就导入了云端沙盒分析技术,其可整合端点电脑、邮件伺服器与档案伺服器,即时检测是否有资安威胁潜藏其中。卢惠光指出,云端沙箱整合档案伺服器与端点电脑的优势在于,如果有人建立了可疑档案,ESET动态威胁防御(EDTD)会立即将档案传送到云端沙箱,除了做行为判断,还会找出该档案的Hash值,当确认其为恶意档案时,动态威胁防御(EDTD)会立即进入各个端点电脑,寻找是否有相当Hash值的档案并予以删除,避免对企业造成更大的危害。

另外,台湾二版资安威胁情报服务(ESET THREAT INTELLIGENCE SERVICE,简称ETI),则可帮助企业落实Gartner自我调整安全架构中的预测机制。由于ESET背后有一个庞大的威胁资料库,24小时X7日不间断地搜集来自全球1.1亿个用户、200多个国家/地区的威胁情资,如今透过资安威胁情报服务(ETI)将这个资料库开放出来,变成一项提供给客户的服务,希望能协助客户强化资安防御。

卢惠光表示,资安威胁情报服务(ETI)的运用有三种形式,第一是透过资料交换的方式,将新发现的病毒Hash值、Botnet IP等,变成一个同步资料源,同步到SIEM、防火墙等资安解决方案中,使其能准确地找到资安威胁。第二为主动预警,资安威胁情报服务(ETI)可以将某些具有针对性的攻击,例如:专门窃取网路银行密码的木马程式,主动预警给相关产业客户知晓。第三则是样本提交,企业可以选择将侦测到的资安威胁上传到资安威胁情报服务(ETI)平台进行分析,以便更深入瞭解资安攻击来源与手法。

置身现今高度资讯化、高度风险的年代,威胁与攻击翻新的速度越来越快,企业必须以Gartner自我调整安全架构为基础,建立一个不断循环的安全防御框架,随时掌握最新攻击资讯、随时调整防御架构,用更省力的方式落实资安。

前往页首