這幾年Ransomware的新聞頻傳,雖然各個企業也因此提出相當多的對策與防範機制,但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料,進而勒索贖金;到竊取受害者的資料,再對受害者勒索贖金否則就公開資料進而威脅受害者;到現在Ransomware不只是加資料加密還另外將資料竊取走,再對受害者進行贖金的勒索。不管中那一種勒索病毒,都會讓受害者損失慘重。
Targeted Ransomware這兩年開始出現,更是讓企業氣得牙癢癢的Ransomware攻擊模式,Targeted Ransomware是高度客製化的Ransomware,專門針對被鎖定的企業,對該企業製造客製化的Ransomware,進行嗅探偵測找出脆弱點,潛伏在企業的系統中伺機透過漏洞進行攻擊,進而勒索該企業,若不付贖金就會公布機密資訊的方式,讓各個大企業乖乖就範。
2019年年底開始爆發的COVID-19疫情持續漫延,因為疫情的關係帶動了遠距工作及遠距學習的新型工作及生活方式。俗話說東北有三寶,行動工作也要有三寶 --- 筆電、手機、充電寶(行動電源)。新世代行動工作者只要有筆電、手機、再加上行動上網,隨時隨地都可以工作、學習。
但其實遠距或行動工作處處潛藏著危機,日本IPA調查2021年資訊安全10大威脅,其中第三名是今年新入榜,針對遠距工作等新常態工作方式的攻擊。過去一年多以來日本疫情一直控制不下來,東京都、大阪府等已經實施了好幾次緊急事態對策。不只賞櫻活動降溫,今年連五一黃金週也泡湯了,東京奧運延後了一年還不一定能辦成。精品科技在東京的子公司從去年3月東京開始爆發大規模疫情後,一直到目前都採取居家辦公,我們和NTT DATA等合作伙伴的活動也全都改成線上會議。這些新工作常態正面臨著前所未有的挑戰與威脅,這也讓有心人士有可趁之機。
內部威脅的範圍可能與一般認知不同,不一定如組織所想像的直接。除了當前的員工和管理人員外,還可能是可以存取特定系統的前員工,第三方顧問或業務合作夥伴都可能是內部威脅。
業界相關研究表明,將近20%的員工可以存取組織內的所有敏感資訊,這意味著,任何知道組織的網路資源和IT生態系如何運作的人,都可能成為內部威脅。阻止內部人員竊取重要資訊是一項非常艱鉅的挑戰,但仍有一些方法可以減輕惡意內部人員相關的風險,並檢測可能洩漏組織關鍵業務和敏感資料的異常行為。
iThome 在 2020十大資安趨勢調查,得出資安威脅的第一名是資料外洩。而國外的知名研究機構Ponemon Institute的2020 Global Encryption Trends Study調查報告,也呈現類似的結果。資訊人員發現資料外洩的威脅有54%是來自內部員工的不當使用或疏忽,其次是系統失靈(31%) 或 駭客入侵(29%)
觀察資料在公司內部的流通和使用情境,主要集中在伺服器,然後供Client端瀏覽、上傳、下載。因此有權限的使用者,可以很輕易的將資料從各種實體裝置,或是網路通訊將資料攜出公司。像是USB隨身碟、智慧型手機,或是將公司檔案上傳到私人的雲端硬碟、Webmail。
要防範勒索軟體,需要注意三大重點:
一般來說, 我們就是在前兩項之間不停的循環操作;當問題發生時,進行止災防擴,最後,再將備份的資料,進行有效的還原。
應用程式白名單是防止未知軟體在電腦上執行的有效方法。NIST 為應用程式白名單提供了良好的遵循建議: "應用程式白名單是根據定義明確的基準上,授權在主機上允許執行應用程式及其元件和(程式庫等等)清單"。應用程式白名單機制在現實運作中是直接有效的理由是,對比於黑名單,你必須事先知道一切可能的壞人特徵點;顯然時效性與有效性都大打折扣。此外,黑名單方式無法有效面對未知威脅。
零信任(Zero Trust)是由John Kindervag10年之前所提出的安全概念模型,零信任有別於傳統的IT網路安全架構守護邊界作為主要訴求,零信任的概念是可以更完善的保護,在企業中不應該完全信任內部或外部的任何連線、裝置,需要用適當的方法認可每一條連線與裝置。
在零信任的安全架構中,需要做不同層面的思考,零信任主要目標可是透過各種方式限制使用者擁有過多的權限,對於每個網路連線都能夠檢查,強化整體企業的網路安全,確保企業不管是從外部或內部都能夠大大的降低威脅,因此對於使用的應用程式、裝置、資料存取、機密程度都做全方位的控管;並搭配更精細的權限分配,這樣才能夠展現出零信任的價值。
根據Verizon發布資料外洩事件調查報告 (DBIR),內部攻擊或威脅肯定是重要的因素之一,實際上,大約有30%的外洩是內部威脅。到目前為止,對組織的最大威脅仍然來自外部參與者。據去年的數據顯示,有70%的違規行為來自外部參與者。其中有1%涉及多方人馬,而且也有1%涉及第三方合作夥伴。
人們普遍認為內部人員是組織安全的最大威脅,這可能有點偏誤。誤以為來自特定來源威脅的「數量」,相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發,可能造成的危害是外部攻擊的十倍,還是要取決於事件的性質。
內部威脅爆發,可能造成的危害比外部攻擊帶來的損害還要大。傳統的資訊外洩防護方案,可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內,以往這也許是足夠的。但是,安全防護的邊界越來越不明顯,而且一旦使用超出邊界範圍,它的資訊安全政策就無法被落實。這意味著,現在的工作及供應商的合作方式,不再有明顯的界線可以分出信任區域。
在整個企業中,使用者依靠帳號和密碼來存取服務和管理設備。這些帳戶的安全性非常重要,保護特權帳戶存取更為重要。特權帳戶具有系統管理級別的存取權限,允許管理者對服務和設備進行設定變更。
在對密碼管理相關方面,特別是像 PAM (Privileged Access Management) 的系統,其安全需求是來自於組織中對所有不同帳戶和密碼管理的困難。通常情況下,環境中的密碼比人員數量多五倍或更高;當密碼未以適當方式管理或更替時,則容易造成洩漏的風險。IT 部門在建立密碼系統時,密碼通常無法或不允許以其他形式保存,或者它們可能永遠不會更替。而特權帳戶如果沒有得到適當的保護,組織很容易受到實質損害。
近年來大家印象比較深刻的資安事件應該是中油兩度遭到勒索病毒攻擊導致營運受到影響,除了中油之外其他尚有多家上市櫃公司都有被勒索病毒攻擊的資安事件,這些是有被媒體報導出來的,實際上被攻擊的企業數量上會比媒體報導的還要多很多倍,防範勒索病毒第一個想到的或許是防毒軟體,但是在勒索病毒變種速度越來越快的情況之下,如何保護企業內部文件不被勒索是一門重要的課題,對此X-FORT的FAC(Folder Access Control)資料夾防護可以提供一個『文件保護策略』協助防止被勒索。
理論上在確保資訊安全是簡單清楚的規則:IT 應確保只有經過核准的使用者,可以合法存取資訊系統。相信他們存取的原因是正當業務所需,並且假設開始使用也會做正確的操作。然而在實務上,安全的達成一直是安管人員在規則”拒絕” 的一系列靜態過程;「拒絕存取」是在使用者與工作所需的資源之間設置障礙。結果是靜態安全性規則,嚴重妨礙使用者工作效率,並降低組織主要業務處理速度。入侵企業盜竊破壞,甚至網路恐怖主義等風險,已經讓安全防護變成了一種動態的情境,需要採取更智慧的對策。
網路犯罪以前往往是無差別式機會主義,惡意程式隨機散布,有設備未修補或有人上當就成為受害者。侵入內部後向外滲漏資料,內部使用者可能成為不知情的共犯。
為了討論關於事件和資料外洩,先定義事件與洩漏的差別
Incident v.s. breach
Incident : 危及資訊資產的完整性、機密性或可用性的安全事件。
Breach : 造成確認的未經授權的披露資料(而不僅僅是潛在洩露)的事件。
軟體白名單技術,也被稱為應用程式白名單技術。在維持作業系統穩定運作下,以更嚴格的管控技術來控管作業系統程式與第三方程式。不論是系統常態流程程序、程式關聯的環境及檔案、或是使用者操作程式,只能運行在被特許的特定目標環境、目錄及檔案。這樣的概念與進階Zero Trust中的Application trust典範相近。
勒索病毒(軟體)一詞目前為止,2020年是最慘烈的一年,許多知名集團企業這一年過的都不平靜,就像2020年肺炎一樣搞得IT與資安十分緊張。
勒索的型態從互動模式大致可以區分成三大類:第一類是透過勒索病毒直接加密勒索;第二類是先竊取該電腦或主機的資料後,再進行加密勒索;第三類並不會加密,直接偷走資料,再告訴苦主資料被竊,如果不交付贖金,在暗網公開資料或銷售被竊資料。
內部人員能造成企業資料外洩?
在互通互連的世界中,企業對資安防護與部署,雖然比過往更加被重視。但如何付諸行動,合適的方案仍難以抉擇。據2020 Data Breach Investigations Report中,顯示了內部威脅明顯增加;即便是外部進來的APT、勒索軟體,也是在內部潛伏伺機而作,並非直接攻擊才產生外洩。
因公接觸許多已導入或尚未導入資安端點防護系統的客戶,論及資產管理時,常聽到「我公司沒在做資產管理耶」、「我們不用資產管理喔」、「只要把檔案加密就好啦」…,聽起來,資產管理就像是一個選項,然而就資安而言,正是忽略了在資訊安全管理規範(ISMS)中,組織的資產責任、資產分類其實都是重要的控制目標,是企業為了達成、維持組織資產有適當的保護、確保資訊已受到適切等級的保護措施。
端點保護平台(EPP)協助預防止端點設備上的安全威脅,包括已知和未知惡意軟體。端點偵測和反應(EDR)解決方案偵測並回應繞過EPP或其他安全措施的事件。哪個重要?可以只選一項嗎?許多現代新發表的EPP平台,大都結合了這兩種方法,同時提供了威脅防禦和端點偵測和反應(EDR),預防與反應措施的問題仍然相關。什麼是EPP?什麼是EDR?有什麼區別及不足的地方?
勒索病毒並不是一個新穎的話題,可是它對企業組織的傷害所造成的損失遠超過大家的想像。先前媒體報導是被加密者哀求勒索駭客的降低贖金過程當趣談,一轉眼國內某世界知名運動穿戴裝置大廠付出高額贖金,來取回資料,讓人眼睛一亮原來「黑產」的獲利是如此有價值。
仔細分析過數百種勒索病毒的運作技術原理,再去深思國內外資安防毒各大家所推出的防護技術手段,其實攻守雙方都一直在推進迴避與穿透技術。前段時間針對勒索病毒或惡意程式,大張旗鼓提出軟體白名單機制,也從簡陋模式進展到多樣檢合標準,都因為勒索病毒或惡意程式穿透迴避機制不斷推陳出新。
精品科技年度XFORT 客戶教育訓練,已於十月期間在台北、新竹、台中、高雄四地的恆逸教室舉辦。X-FORT 管理實務與診斷疑難排解課程,是專為企業內部使用X-FORT之 IT管理人員、資訊安全管理人員所設計,藉由實機操作課程,帶領學員了解各部分功能與概念,搭配 X-Console、W-Console執行管理功能,並優先體驗新版功能。
現有模組的管理實務加強外,即將推出的6.0版多項重點新功能的介紹及體驗,讓學員對於資安管理更具信心、也充滿期待。這次因公向隅未能前來參加課程的管理者,也可透過以下介紹,分享當天上課精彩內容。
