根據Verizon發布資料外洩事件調查報告 (DBIR),內部攻擊或威脅肯定是重要的因素之一,實際上,大約有30%的外洩是內部威脅。到目前為止,對組織的最大威脅仍然來自外部參與者。據去年的數據顯示,有70%的違規行為來自外部參與者。其中有1%涉及多方人馬,而且也有1%涉及第三方合作夥伴。
人們普遍認為內部人員是組織安全的最大威脅,這可能有點偏誤。誤以為來自特定來源威脅的「數量」,相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發,可能造成的危害是外部攻擊的十倍,還是要取決於事件的性質。
內部威脅爆發,可能造成的危害比外部攻擊帶來的損害還要大。傳統的資訊外洩防護方案,可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內,以往這也許是足夠的。但是,安全防護的邊界越來越不明顯,而且一旦使用超出邊界範圍,它的資訊安全政策就無法被落實。這意味著,現在的工作及供應商的合作方式,不再有明顯的界線可以分出信任區域。
在整個企業中,使用者依靠帳號和密碼來存取服務和管理設備。這些帳戶的安全性非常重要,保護特權帳戶存取更為重要。特權帳戶具有系統管理級別的存取權限,允許管理者對服務和設備進行設定變更。
在對密碼管理相關方面,特別是像 PAM (Privileged Access Management) 的系統,其安全需求是來自於組織中對所有不同帳戶和密碼管理的困難。通常情況下,環境中的密碼比人員數量多五倍或更高;當密碼未以適當方式管理或更替時,則容易造成洩漏的風險。IT 部門在建立密碼系統時,密碼通常無法或不允許以其他形式保存,或者它們可能永遠不會更替。而特權帳戶如果沒有得到適當的保護,組織很容易受到實質損害。
近年來大家印象比較深刻的資安事件應該是中油兩度遭到勒索病毒攻擊導致營運受到影響,除了中油之外其他尚有多家上市櫃公司都有被勒索病毒攻擊的資安事件,這些是有被媒體報導出來的,實際上被攻擊的企業數量上會比媒體報導的還要多很多倍,防範勒索病毒第一個想到的或許是防毒軟體,但是在勒索病毒變種速度越來越快的情況之下,如何保護企業內部文件不被勒索是一門重要的課題,對此X-FORT的FAC(Folder Access Control)資料夾防護可以提供一個『文件保護策略』協助防止被勒索。
理論上在確保資訊安全是簡單清楚的規則:IT 應確保只有經過核准的使用者,可以合法存取資訊系統。相信他們存取的原因是正當業務所需,並且假設開始使用也會做正確的操作。然而在實務上,安全的達成一直是安管人員在規則”拒絕” 的一系列靜態過程;「拒絕存取」是在使用者與工作所需的資源之間設置障礙。結果是靜態安全性規則,嚴重妨礙使用者工作效率,並降低組織主要業務處理速度。入侵企業盜竊破壞,甚至網路恐怖主義等風險,已經讓安全防護變成了一種動態的情境,需要採取更智慧的對策。
網路犯罪以前往往是無差別式機會主義,惡意程式隨機散布,有設備未修補或有人上當就成為受害者。侵入內部後向外滲漏資料,內部使用者可能成為不知情的共犯。
為了討論關於事件和資料外洩,先定義事件與洩漏的差別
Incident v.s. breach
Incident : 危及資訊資產的完整性、機密性或可用性的安全事件。
Breach : 造成確認的未經授權的披露資料(而不僅僅是潛在洩露)的事件。
軟體白名單技術,也被稱為應用程式白名單技術。在維持作業系統穩定運作下,以更嚴格的管控技術來控管作業系統程式與第三方程式。不論是系統常態流程程序、程式關聯的環境及檔案、或是使用者操作程式,只能運行在被特許的特定目標環境、目錄及檔案。這樣的概念與進階Zero Trust中的Application trust典範相近。
勒索病毒(軟體)一詞目前為止,2020年是最慘烈的一年,許多知名集團企業這一年過的都不平靜,就像2020年肺炎一樣搞得IT與資安十分緊張。
勒索的型態從互動模式大致可以區分成三大類:第一類是透過勒索病毒直接加密勒索;第二類是先竊取該電腦或主機的資料後,再進行加密勒索;第三類並不會加密,直接偷走資料,再告訴苦主資料被竊,如果不交付贖金,在暗網公開資料或銷售被竊資料。
內部人員能造成企業資料外洩?
在互通互連的世界中,企業對資安防護與部署,雖然比過往更加被重視。但如何付諸行動,合適的方案仍難以抉擇。據2020 Data Breach Investigations Report中,顯示了內部威脅明顯增加;即便是外部進來的APT、勒索軟體,也是在內部潛伏伺機而作,並非直接攻擊才產生外洩。
因公接觸許多已導入或尚未導入資安端點防護系統的客戶,論及資產管理時,常聽到「我公司沒在做資產管理耶」、「我們不用資產管理喔」、「只要把檔案加密就好啦」…,聽起來,資產管理就像是一個選項,然而就資安而言,正是忽略了在資訊安全管理規範(ISMS)中,組織的資產責任、資產分類其實都是重要的控制目標,是企業為了達成、維持組織資產有適當的保護、確保資訊已受到適切等級的保護措施。
端點保護平台(EPP)協助預防止端點設備上的安全威脅,包括已知和未知惡意軟體。端點偵測和反應(EDR)解決方案偵測並回應繞過EPP或其他安全措施的事件。哪個重要?可以只選一項嗎?許多現代新發表的EPP平台,大都結合了這兩種方法,同時提供了威脅防禦和端點偵測和反應(EDR),預防與反應措施的問題仍然相關。什麼是EPP?什麼是EDR?有什麼區別及不足的地方?
勒索病毒並不是一個新穎的話題,可是它對企業組織的傷害所造成的損失遠超過大家的想像。先前媒體報導是被加密者哀求勒索駭客的降低贖金過程當趣談,一轉眼國內某世界知名運動穿戴裝置大廠付出高額贖金,來取回資料,讓人眼睛一亮原來「黑產」的獲利是如此有價值。
仔細分析過數百種勒索病毒的運作技術原理,再去深思國內外資安防毒各大家所推出的防護技術手段,其實攻守雙方都一直在推進迴避與穿透技術。前段時間針對勒索病毒或惡意程式,大張旗鼓提出軟體白名單機制,也從簡陋模式進展到多樣檢合標準,都因為勒索病毒或惡意程式穿透迴避機制不斷推陳出新。
精品科技年度XFORT 客戶教育訓練,已於十月期間在台北、新竹、台中、高雄四地的恆逸教室舉辦。X-FORT 管理實務與診斷疑難排解課程,是專為企業內部使用X-FORT之 IT管理人員、資訊安全管理人員所設計,藉由實機操作課程,帶領學員了解各部分功能與概念,搭配 X-Console、W-Console執行管理功能,並優先體驗新版功能。
現有模組的管理實務加強外,即將推出的6.0版多項重點新功能的介紹及體驗,讓學員對於資安管理更具信心、也充滿期待。這次因公向隅未能前來參加課程的管理者,也可透過以下介紹,分享當天上課精彩內容。
檔案伺服器是存放重要資料的地方,通常也會是惡意成下手的重要目標,姑且不論動機是為了破壞還是為財。用來保護伺服器的IT基礎設施也會因為漏洞的關係,反而成了第一犧牲品。可以從新興威脅型態看出,如Samsam利用伺服器漏洞,蒐集憑證用以橫向感染,而並非透過電子郵件附件或者網站下載進入。由於這種不利用基礎設施特性,傳統的安全防禦設備、系統很難有效防範。
伺服器是企業組織體系中重要端點裝置,長期隱身於機房內,卻提供著企業組織重要營運,他所連結的儲存裝置(HDD, Storage, NAS)是營運與機敏性資料保存所在。而伺服器的安全又因企業或組織體系規模,呈現出很不一樣的管理態樣。
邁入2020 年,資安的議題還是不斷蔓延,不論是駭客透過病毒肆虐感染資料、或是常見的投槍帶靠將機密外洩等事件屢屢皆是,每天都有大大小小的資安事件發生,企業對於資安防守層面越來越大、越來越廣,是否應該仔細思考資安管理層面,好好的面對資訊安全議題呢!
資訊安全專業人員通常將IT的人為影響成分解釋為“人為錯誤”,被視為組織機構資訊安全中最薄弱的環節。在許多情況下,網路安全事件是由人為錯誤,惡意企圖或缺乏安全意識引起的。實際上,根據業界的一些研究,網路安全事故的主因為人為錯誤。因此,資訊安全業者正在加碼投資,注重於降低人為風險的技術和標準。這也是市場上提供像是行為監控,內部威脅檢測和資訊外洩防護系統的技術和服務,目標在降低由惡意或意外人為而構成的威脅。
通常管理者對於資安系統政策套用的認知是以『監控電腦』的方式來進行控管這種方式通常會有盲點,就是實際使用上會有很多情境下是無法滿足需求的,以目前國內DLP資安系統大部分的架構都是採用主從式架構(Client-Server)意味著需要在用戶端電腦安裝Agent進行監控,系統管理者在制定政策通常會採用『依部門』、『依功能』等不同角度的方向來控管電腦。一套好的資安管理系統需要兼備安全與彈性,此系統最好可依據使用情境、工作內容、時間、場所不同達到政策自動切換的功能,讓工作彈性與安全強度兼具。
EDR 首見於2013 年由Gartner 專家Anton Chuvakin,經過與業界專家討論後,歸類端點防護工具產品Endpoint Threat Detection & Response (ETDR)。到了2015年,大多Gartner的研究將它們稱為EDR工具。相較於傳統資安工具專注於網路、惡意程式和已公告的資安事件等) ,這名稱凸顯了在端點防護上的主要用途,威脅檢測和事件反應工具。使用Threat 這名稱就不僅是外部攻擊,內部不當活動也包含在內。供應商各自發展一些改進型,如XDR,NextGen等,擅長領域也可能些許相異。相較於以往。這些工具通常不擅長傳統的數位取證鑑識,像是全碟映像(Disk Image)獲取和分析等,但有些還是可以提供此類資訊以及執行其他取證分析功能。另一方面 XDR、NextGen下一代端點特色,發展預防/阻止/隔離為重點的工具,應該會自己成為一個新的類別。
精品科技資安部經理陳伯榆,以技術角度分析內部人員或外包第三方人員竊取企業機密資料的手法,來說明內賊難防的原因。
