內部人員能造成企業資料外洩?
在互通互連的世界中,企業對資安防護與部署,雖然比過往更加被重視。但如何付諸行動,合適的方案仍難以抉擇。據2020 Data Breach Investigations Report中,顯示了內部威脅明顯增加;即便是外部進來的APT、勒索軟體,也是在內部潛伏伺機而作,並非直接攻擊才產生外洩。
是沒有危機意識、無心之過、還是惡意破壞、或根本是臥底?
除了外部攻擊者,內部潛在的有心人也必須提防。Verizon 受實際企業委託做的內部威脅報告,發現造成外洩的內部人員類型,比我們以往認知的還多
- Careless Worker 無心的人員失誤
- Inside Agent 內應臥底
- Disgruntled Employee 心懷不滿的人員
- Malicious Insider 惡意的人員
- Feckless Third Party 防護不足的第三方夥伴
可以看出內部威脅涉及組織內部員工、承包商或前員工的惡意活動,包括 IT 破壞、詐欺或竊取智慧財產權。內部人員可能會因自己無意行為,間接成為外部威脅參與者。其中內應臥底是不可能用傳統的端點防禦偵測出來的,因為他們的活動完全合法,完全看不出異常。
傳統偵測方式的不足
不論是 UEBA,DLP ,APT ,EPP、IDS、IDP等,都是用近似的方式來偵測威脅,不外乎
- 已知特徵值比對
- 行為觀察,沙箱
- 信用評分、威脅評分模型
然而這些方案卻有點不足的地方,如對未知的未知威脅,沒法有效偵測;以及過多的警告訊息、誤報案例沒有辦法改善。使得資安人員疲於奔命,卻也無法有效找到攻擊者。
偽裝欺敵與主動誘敵
偽裝欺騙其實算是一種主動防禦形式,但其佈署態勢並不明顯活躍。只會默默誘使攻擊者參與進來,而不是粗暴的試圖阻止防堵、反擊攻擊者。有效的偽裝會誘使攻擊者改變其活動行為。如果必須花費大量精力和資源而最後卻是做白工,那麼攻擊受害者就沒有任何好處。欺騙使攻擊者的活動更加艱難,好處更少;但對資安管理上則更容易發現攻擊者而加以遏止。
本質上,欺騙技術旨在引誘、挑起攻擊者的動機,並利用其關注目標的企圖產生:
- 陷阱
偽造的主機和系統訊息被故意傳播給誘餌攻擊者。該訊息具有足夠的吸引力,足以將這些罪犯引誘到遠離正規網路資產和誘餌伺服器(陷阱)。 - 誘餌
提供給攻擊者獲得的假訊息,可以用來發佈誘餌伺服器上的活動。
雖然這種方法對防禦和資安事件可見性具有顯著價值,但許多人認為,威脅狩獵過程可能要求太高太複雜。為了使陷阱有效,安全團隊可能要瞭解其環境,依據攻擊者可能有興趣的標的,製作誘餌。如果擬真程度不夠,難以使攻擊者上鉤。如果太過普通,可能也有被傳入的告警所淹沒。端視你使用什麼技術來誘捕狩獵,以及從哪裡開始。
模擬真實生態系統
該技術的工作原理是創建誘餌,看起來實際但卻是偽造的資產(如網域、資料庫、伺服器、應用程式、檔案、Cookie、連線session等),這些資產與真實資產一起部署在企業環境中。對於攻擊者來說,無法區分真實或是偽裝的資產。當它們與誘餌作用存取時,系統會發出無聲警報,同時收集有關攻擊者操作和意圖的資訊。
由於誤報會削弱整個安全團隊的工作效率,並且拖累 IT 團隊工作。通常,嘗試驗證警報的過程比實際的補救措施更耗時。因為誘餌陷阱是針對性依據現實腳本設計的,先天具有較低的誤報特性 。如任何人都不應打開誘餌檔、使用誘餌應用程式、使用誘餌憑證或掃描誘餌伺服器。警報的上下文相關性也有助於判斷攻擊者的意圖,例如研發人員存取財務系統,顯然有不合理的地方。
結論
防守的議題上,除了被動的防堵,偵測危安事件發生,應更進一步考慮利用偽裝手段,誘使內部潛在威脅提早露餡。孫子兵法這麼說的 : 兵者,詭道也。故能而示之不能,用而示之不用,近而示之遠,遠而示之近。在攻防的戰爭中,攻守雙方不論技巧、時間、強度各方面,其實就極端不對稱。與其24小時分秒不鬆懈被動的防堵,不如將戰場主控權重新握回手中。偽裝欺敵增強了先發制人的防禦先機,可以抵禦攻擊,而無需等待被發起反擊。已經使用端點防護或下一代防火牆解決方案的組織,應考慮將欺敵策略加入資安防禦方案中。正如孫子所言:不戰而屈人之兵,善之善者也。