FineArt News
Hook API讓應用程式乖乖轉彎,駭客也是這麼做

我們知道,一些應用程式在設計完成後,就已經定版了,程式會依照特定的邏輯運行,除非拿到原始碼,修改後,重新編譯,否則無法更改程式的既定流程。例如:Notepad.exe 在原始的設計上可以開啟硬碟上的任何檔案,如果我們希望一個特別的 Notepad.exe 不能開啟在 C:\Security 目錄下的檔案,顯然和原始的設計不符。如果要達成上述的目標,強迫改變Notepad的行為,就必須使用Hook API的技術。駭客和安全防護間的攻防,也常會使用 Hook API 技術,來改變某些應用程式的行為,所以有必要進一步瞭解 Hook API 技術是什麼。

X-FORT 應用程式控管信任機制

X-FORT應用程式控管,具備簡單又容易管理的規則,不增加管理者負擔就能保護端點安全,同時支援黑、白名單技術。黑名單又稱為「阻擋名單(Blocklist)」,當X-FORT系統發現黑名單的程式,立即阻擋執行。缺點為難以完全列舉所有的惡意程式;相反地,白名單又稱為「通行名單(Allowlist)」,適用於防範未知的威脅(如勒索病毒、零時差惡意程式)。

只有X-FORT白名單規則的程式允許執行,名單外的程式預設禁止執行。規則限制比黑名單還嚴謹,更能提供全面的資安防護。

X-FORT勒索軟體防護方案

根據日本IPA(情報處理推進機構)發布2021年日本企業資訊安全10大威脅,勒索軟體已從去年的第五名今年大幅躍升到第一名,可見對企業進行勒索攻擊已經是駭客的主要收入來源,他們會採取攻擊有可能交付贖金的企業,已非當初的亂槍打鳥方式了。雖然企業的資安防禦在提升,但面對集團化的駭客組織他們也在精進勒索軟體攻擊的方法,導致企業防禦更加困難,面對勒索軟體企業除了被動的防守外,下面介紹勒索軟體發作四階段的應對計畫是可參考的方向。

逆向工程分析漏洞如何被利用

如果想成為一名真正的資安防護專業人員或電腦鑑識調查員,那麼了解軟體在原始碼的工作原理是必然不可少的。您需要能夠分析漏洞如何被利用的原始碼,或者分析惡意軟體原始程序才能真正理解它。反組譯是將二進位可執行檔轉換為更易於人類理解的高階語言的過程。通常這意味著將可執行程式轉換組合語言,再反編譯成為 C或其他高階語言的原始碼。

居家辦公,自動切換資安政策很重要

異地工作的資安挑戰

當疫情大流行而迫使組織,從完全在公司內辦公,或混合辦公室/遠端辦公,快速轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是:公司要在極短時間內給居家人員準備設備,另一方面全面性調整資安架構與政策。重要的是考慮遠端工作的員工所使用裝置,除了工作之外,可能同時用於購物、支付帳單和一般 Web 瀏覽活動,這會增加洩漏露組織資料的風險。

快為電腦的重要檔案戴上口罩 防範勒索病毒就用FAC資料夾防護

近日新冠病毒疫情趨嚴,人人戴口罩、勤洗手、保持社交距離、減少不必要外出。同樣面對網路世界盛行的勒索病毒,企業如何有效保護電腦中的重要檔案,除備份外,還有其他方法? 有的!透過端點防護機制,利用應用程式白名單限制保護資料夾存取行為,就有如口罩的保護篩選作用,做到事前阻斷惡意程式,讓電腦中重要的文件多一層保護。

解構Target Ransom & Malware Steal的技術手法

這幾年Ransomware的新聞頻傳,雖然各個企業也因此提出相當多的對策與防範機制,但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料,進而勒索贖金;到竊取受害者的資料,再對受害者勒索贖金否則就公開資料進而威脅受害者;到現在Ransomware不只是加資料加密還另外將資料竊取走,再對受害者進行贖金的勒索。不管中那一種勒索病毒,都會讓受害者損失慘重。

Targeted Ransomware這兩年開始出現,更是讓企業氣得牙癢癢的Ransomware攻擊模式,Targeted Ransomware是高度客製化的Ransomware,專門針對被鎖定的企業,對該企業製造客製化的Ransomware,進行嗅探偵測找出脆弱點,潛伏在企業的系統中伺機透過漏洞進行攻擊,進而勒索該企業,若不付贖金就會公布機密資訊的方式,讓各個大企業乖乖就範。

讓安全政策隨行動辦公室的時空主動變換

2019年年底開始爆發的COVID-19疫情持續漫延,因為疫情的關係帶動了遠距工作及遠距學習的新型工作及生活方式。俗話說東北有三寶,行動工作也要有三寶 --- 筆電、手機、充電寶(行動電源)。新世代行動工作者只要有筆電、手機、再加上行動上網,隨時隨地都可以工作、學習。

但其實遠距或行動工作處處潛藏著危機,日本IPA調查2021年資訊安全10大威脅,其中第三名是今年新入榜,針對遠距工作等新常態工作方式的攻擊。過去一年多以來日本疫情一直控制不下來,東京都、大阪府等已經實施了好幾次緊急事態對策。不只賞櫻活動降溫,今年連五一黃金週也泡湯了,東京奧運延後了一年還不一定能辦成。精品科技在東京的子公司從去年3月東京開始爆發大規模疫情後,一直到目前都採取居家辦公,我們和NTT DATA等合作伙伴的活動也全都改成線上會議。這些新工作常態正面臨著前所未有的挑戰與威脅,這也讓有心人士有可趁之機。

透過X-FORT解構非常規操作行為

內部威脅的範圍可能與一般認知不同,不一定如組織所想像的直接。除了當前的員工和管理人員外,還可能是可以存取特定系統的前員工,第三方顧問或業務合作夥伴都可能是內部威脅。

業界相關研究表明,將近20%的員工可以存取組織內的所有敏感資訊,這意味著,任何知道組織的網路資源和IT生態系如何運作的人,都可能成為內部威脅。阻止內部人員竊取重要資訊是一項非常艱鉅的挑戰,但仍有一些方法可以減輕惡意內部人員相關的風險,並檢測可能洩漏組織關鍵業務和敏感資料的異常行為。

記錄可視性,X-FORT 追根究柢

iThome 在 2020十大資安趨勢調查,得出資安威脅的第一名是資料外洩。而國外的知名研究機構Ponemon Institute的2020 Global Encryption Trends Study調查報告,也呈現類似的結果。資訊人員發現資料外洩的威脅有54%是來自內部員工的不當使用或疏忽,其次是系統失靈(31%) 或 駭客入侵(29%)

觀察資料在公司內部的流通和使用情境,主要集中在伺服器,然後供Client端瀏覽、上傳、下載。因此有權限的使用者,可以很輕易的將資料從各種實體裝置,或是網路通訊將資料攜出公司。像是USB隨身碟、智慧型手機,或是將公司檔案上傳到私人的雲端硬碟、Webmail。

阻斷勒索!端點控管讓 EDR 反應更直覺快速

要防範勒索軟體,需要注意三大重點:

  1. 事前阻斷:儘量讓資安問題不要發生。
  2. 平時備份:確保備資料的可用性。
  3. 防止擴散:萬一不幸發生勒索時,要馬上進行止災,防止問題的擴散。

一般來說, 我們就是在前兩項之間不停的循環操作;當問題發生時,進行止災防擴,最後,再將備份的資料,進行有效的還原。

白名單的原理 : 讓誰進家門?

應用程式白名單是防止未知軟體在電腦上執行的有效方法。NIST 為應用程式白名單提供了良好的遵循建議: "應用程式白名單是根據定義明確的基準上,授權在主機上允許執行應用程式及其元件和(程式庫等等)清單"。應用程式白名單機制在現實運作中是直接有效的理由是,對比於黑名單,你必須事先知道一切可能的壞人特徵點;顯然時效性與有效性都大打折扣。此外,黑名單方式無法有效面對未知威脅。

中小企業也能做到資安零信任

零信任(Zero Trust)是由John Kindervag10年之前所提出的安全概念模型,零信任有別於傳統的IT網路安全架構守護邊界作為主要訴求,零信任的概念是可以更完善的保護,在企業中不應該完全信任內部或外部的任何連線、裝置,需要用適當的方法認可每一條連線與裝置。

在零信任的安全架構中,需要做不同層面的思考,零信任主要目標可是透過各種方式限制使用者擁有過多的權限,對於每個網路連線都能夠檢查,強化整體企業的網路安全,確保企業不管是從外部或內部都能夠大大的降低威脅,因此對於使用的應用程式、裝置、資料存取、機密程度都做全方位的控管;並搭配更精細的權限分配,這樣才能夠展現出零信任的價值。

端點控管必須內外防護兼具

根據Verizon發布資料外洩事件調查報告 (DBIR),內部攻擊或威脅肯定是重要的因素之一,實際上,大約有30%的外洩是內部威脅。到目前為止,對組織的最大威脅仍然來自外部參與者。據去年的數據顯示,有70%的違規行為來自外部參與者。其中有1%涉及多方人馬,而且也有1%涉及第三方合作夥伴。

人們普遍認為內部人員是組織安全的最大威脅,這可能有點偏誤。誤以為來自特定來源威脅的「數量」,相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發,可能造成的危害是外部攻擊的十倍,還是要取決於事件的性質。

內外防護兼具,X-FORT的監控防護建議

內部威脅爆發,可能造成的危害比外部攻擊帶來的損害還要大。傳統的資訊外洩防護方案,可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內,以往這也許是足夠的。但是,安全防護的邊界越來越不明顯,而且一旦使用超出邊界範圍,它的資訊安全政策就無法被落實。這意味著,現在的工作及供應商的合作方式,不再有明顯的界線可以分出信任區域。

帳號管理為什麼這麼重要?

在整個企業中,使用者依靠帳號和密碼來存取服務和管理設備。這些帳戶的安全性非常重要,保護特權帳戶存取更為重要。特權帳戶具有系統管理級別的存取權限,允許管理者對服務和設備進行設定變更。

在對密碼管理相關方面,特別是像 PAM (Privileged Access Management) 的系統,其安全需求是來自於組織中對所有不同帳戶和密碼管理的困難。通常情況下,環境中的密碼比人員數量多五倍或更高;當密碼未以適當方式管理或更替時,則容易造成洩漏的風險。IT 部門在建立密碼系統時,密碼通常無法或不允許以其他形式保存,或者它們可能永遠不會更替。而特權帳戶如果沒有得到適當的保護,組織很容易受到實質損害。

X-FORT FAC 資料夾防護,協助防止勒索

近年來大家印象比較深刻的資安事件應該是中油兩度遭到勒索病毒攻擊導致營運受到影響,除了中油之外其他尚有多家上市櫃公司都有被勒索病毒攻擊的資安事件,這些是有被媒體報導出來的,實際上被攻擊的企業數量上會比媒體報導的還要多很多倍,防範勒索病毒第一個想到的或許是防毒軟體,但是在勒索病毒變種速度越來越快的情況之下,如何保護企業內部文件不被勒索是一門重要的課題,對此X-FORT的FAC(Folder Access Control)資料夾防護可以提供一個『文件保護策略』協助防止被勒索。

為什麼端點防護要自動切換的安全規則?

理論上在確保資訊安全是簡單清楚的規則:IT 應確保只有經過核准的使用者,可以合法存取資訊系統。相信他們存取的原因是正當業務所需,並且假設開始使用也會做正確的操作。然而在實務上,安全的達成一直是安管人員在規則”拒絕” 的一系列靜態過程;「拒絕存取」是在使用者與工作所需的資源之間設置障礙。結果是靜態安全性規則,嚴重妨礙使用者工作效率,並降低組織主要業務處理速度。入侵企業盜竊破壞,甚至網路恐怖主義等風險,已經讓安全防護變成了一種動態的情境,需要採取更智慧的對策。

資料保護: insider 或 outsider?

網路犯罪以前往往是無差別式機會主義,惡意程式隨機散布,有設備未修補或有人上當就成為受害者。侵入內部後向外滲漏資料,內部使用者可能成為不知情的共犯。

為了討論關於事件和資料外洩,先定義事件與洩漏的差別

Incident v.s. breach

Incident : 危及資訊資產的完整性、機密性或可用性的安全事件。

Breach : 造成確認的未經授權的披露資料(而不僅僅是潛在洩露)的事件。

從惡意程序與勒索軟體檢視軟體白名單價值與挑戰

軟體白名單技術,也被稱為應用程式白名單技術。在維持作業系統穩定運作下,以更嚴格的管控技術來控管作業系統程式與第三方程式。不論是系統常態流程程序、程式關聯的環境及檔案、或是使用者操作程式,只能運行在被特許的特定目標環境、目錄及檔案。這樣的概念與進階Zero Trust中的Application trust典範相近。

子分類