善用在地化情資 強化因應未知威脅能力

NEITHNET 情資分享

NEITHNET 資安實驗室

  情資概念放在資安領域即是威脅情資,資安公司透過收集威脅攻擊、攻擊者資訊、散播過程等,並將相關威脅資料轉為可讀性的資安情資,如 IOC入侵指標,作為企業建構資安防護網之用。簡單來說,當企業取得即時性的威脅情資,便能在最短時間內掌握駭客攻擊的全貌,避免資安事件影響層面擴大,可有效保護公司的數位資產與商譽。

情資優化與分類 找出最適在地情資

  資安公司大致上從兩個面向取得威脅情資,「自有情資」多半從部署於客戶端的設備或軟體中收集,如當客戶遭受攻擊、協助進行資安鑑識時,掌握該次資安事件的攻擊手法與模式,屬於被動式的收集模式。而「外部情資」則是透過與其他資安廠商交換情資,取得涵蓋全球、特定區域或產業的情資等。

  相較之下,NEITHNET騰曜網路則是採主動收集情資的策略,除了從客戶端收集情資外,亦會針對網路攻擊事件或手法進行研究,並在合適地點廣泛佈建誘捕系統,藉此收集駭客的新型態攻擊手法。正因如此,當國際資安公司考量臺灣資安市場規模不大,通常不會設立情資單位下,幾乎都指定與擁有大量在地情資的NEITHNET進行情資交換,藉此增加情資資料庫的規模與可信度。

  取得威脅情資後,還必須進行情資優化的工作,如依照攻擊方式、危害程度、攻擊產業別等進行分類,並確認情資的有效性、是否為24小時內等。情資優化是發揮情資價值的重要工作,如針對OT場域設計的攻擊手法,通常不適用於OA場域中。因此,資安公司必須針對不同產業提供相對應情資,才能發揮預期效益。而找出適合臺灣特性的在地化情資,更是協助臺灣企業強化防護力的重要一環。

  NEITHNET騰曜網路科技總經理林岳鋒表示,對岸駭客組織向來把臺灣當作攻擊實驗場域,因此有很多專為臺灣環境設計的攻擊手法與威脅,如近期常見的「普發6000」、「監理站的催繳通知」等,誘騙收件者開啟簡訊中的惡意連結或附件,藉此達到入侵企業網路的目的。由於NEITHNET採取主動設立誘捕系統方式,所以可從多方面收集臺灣在地化情資,助企業因應此類惡意威脅。

改善資安設備防護極限 防堵新型態威脅入侵

  現今企業幾乎都已經部署防火牆、IPS、防毒牆等資安設備,卻依然傳出遭到惡意威脅入侵憾事。其中原因之一,各資安設備本身就有使用上的限制,無法百分百防堵惡意程式入侵。而近幾年情資備受關注的原因,在於可解決傳統資安設備的防護極限,同時當爆發惡意威脅入侵時,還可加速資安事件調查、事後分析、事後調查、回溯追蹤等,是改善企業資安防護等級、降低受駭程度的重要助力。

  例如,資安人員完成防火牆的首次參數設定後,通常甚少進行後續稽核與調整工作,也幾乎沒有餘力去分析log的大量訊息,對IPS、防毒牆等設備亦是如此。但資安設備沒有發出警告訊息,並不代表公司沒有遭到駭客攻擊,有可能是設備本身沒有偵測到威脅所致,因此才導致很多企業遭到攻擊而不自知。

  「現今駭客會利用掃描工具尋找防火牆等資安設備的漏洞,並透過Bot、DDoS等手法嘗試發動攻擊,只要資安設備的設定不完整,就可能出現讓惡意威脅入侵的漏洞。」林岳鋒解釋:「此時若能善用最新威脅情資,主動將可疑IP位址列入黑名單,即可達到初步隔絕駭客行動,避免後續攻擊發生。根據我們實測發現,大約部署一週後,企業遭受攻擊次數就會大幅下降,而威脅情資平均可阻擋 5萬次以上不必要的連線,達到增加防火牆效能的目的。」

  由於駭客正大舉運用時效性極短的釣魚網站、短網址等,誘騙警覺心不高的員工上當,成為入侵企業網路的跳板。一般人存取網站的需求大同小異,透過Security DNS的白名單列表情資,可用來確保用戶上網安全,減輕資安防護壓力,若員工有額外需求再另外開通即可。而值得一提的是,每天仍有駭客不斷更新惡意網址,就連專業人士都無法在第一時間辨別,更遑論透過資安設備進行檢測,這同時也凸顯善用威脅情資的重要性。

與專業團隊合作 共同處理資安威脅

  面對日新月異的攻擊手法,企業應該採取「永不信任、時時備戰」的資安策略。畢竟在龐大經濟誘因下,駭客攻擊事件絕對不會消失,企業必須體認到資安問題無法被「解決」,只能從「降低」資安風險著手。企業必須正視每次資安攻擊事件,且將每次處理資安問題獲得的經驗與技術,用於改善自身整體資安體質,才能讓駭客發動攻擊的門檻變高。

  林岳鋒指出,所謂提高駭客入侵門檻,是加強資安防護機制的深度與廣度,盡可能拉長駭客入侵時間,才可能在各階段偵測到異常異狀,並採取最合適的回應策略。目前並沒有單一產品可解決所有的資安問題,因為每種資安設備都有各自專長,唯有彼此串聯協力合作才能發揮最大效益。在資安人才不足的狀況下,我們建議企業應與專業資安業者合作,畢竟資安問題日新月異,資安早已成為專業課題,自然需要專業團隊協助解決,絕對比單兵作戰好上許多。

  此外,企業亦應該積極引進具備回饋式在地化情資的防護機制,藉由主動收集針對公司的攻擊資訊,轉化為自身防護的資訊,讓公司具備因應未知挑戰的能力。

  想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *