按 Enter 到主內容區
:::

TWCERT-電子報

:::

利用生命周期防禦抵擋進階滲透式攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-03-27
  • 點閱次數:468

因應美國聯邦政府日前發生400萬筆公務員資料外洩事件,企業資安防護技術全球領導廠商 Blue Coat呼籲企業及政府機構重視傳統端點式安全防護的方法已不足以應付日益複雜的威脅,應採用生命周期防護策略的方法才能夠避免未知的進階威脅攻擊。
越來越嚴峻的網路與資訊安全挑戰,已成為美國聯邦政府的第一要務。針對美國政府的網路攻擊日益猖獗,美國人事管理局因遭受入侵而洩露了400萬筆公務員資料只是最近引人注目的案例之一。在面對網路攻擊的主動防禦策略上,Blue Coat建議,政府機構必需發展出全新的 因應美國聯邦政府日前發生400萬筆公務員資料外洩事件,企業資安防護技術全球領導廠商 Blue Coat呼籲企業及政府機構重視傳統端點式安全防護的方法已不足以應付日益複雜的威脅,應採用生命周期防護策略的方法才能夠避免未知的進階威脅攻擊。
越來越嚴峻的網路與資訊安全挑戰,已成為美國聯邦政府的第一要務。針對美國政府的網路攻擊日益猖獗,美國人事管理局因遭受入侵而洩露了400萬筆公務員資料只是最近引人注目的案例之一。在面對網路攻擊的主動防禦策略上,Blue Coat建議,政府機構必需發展出全新的思維與執行方式,為網路攻擊的完整生命周期建立一套完備的資安方法:從防禦、偵測、修補到鑑識,以確保能夠保護人民、公務員及任務的安全。
傳統安全防護的不足
傳統上政府機構的安全防護可能都只是整合網路式安全方案與獨立的產品,只用來對抗已知的威脅。但是面對現今由國家所贊助的狡猾攻擊者、駭客及進階式威脅,這樣的措施顯然已經不足以面對。即時性的防禦、偵測及修補網路攻擊,不單只是網路安全挑戰,還需要人性與技術的共同整合。
一般而言,政府機構可能透過一堆的端點式安全產品企圖打造一個強大的安全堡壘。所以投入的大部份資安工作可能都是用來發展具備新技術的「單一工具」以防止惡意流量的滲透,並讓流量能安全地通過網路。大致而言,這些全都是屬於「防禦式」技術,但是防禦的牆越築越高、範圍越來越大的結果,反而造成了安全技術的落差。
這些技術對於阻檔已知的威脅的確相當重要,並也能夠幫助政府機構達成目的,而且只要開機更新,就能夠完全發揮其功能。但是,政府機構若要維護其任務、服務和機關功能等相關資料的完整性(Integrity)、可用性(Availability )及機密性(Confidentiality), 則還需要具備情境式(Context)、可視能力(Visibility )以及進階威脅防護(ATP)等相關技術;因此單純使用這類傳統技術在資安上仍有很大的防禦落差。因為現今有很多的資安攻擊都不單只是一些只會防禦的傳統技術所能夠偵測得到的,所以政府機關需要有更完善的準備。
進階威脅防護與生命周期防禦
傳統資安產品所能夠防禦的多屬一般性的資安威脅,卻無法解決美國人事管理局所遇到的進階式威脅。以下則是一般威脅和進階網路威脅的重要區別:
.一般威脅或「大眾市場」威脅,是每個人都應該防止的,如針對已知的作業系統或者是應用程式漏洞。這類型的威脅通常是由傳統特徵式網路及端點式安全防禦工具所偵測,包括入侵防禦系統(IPS)、網頁及電子郵件安全閘道器及防毒平台。
.進階式威脅則是未知的威脅,通常針對的是未知的OS或應用程式漏洞,是傳統特徵式防禦無法偵測得到。
進階式威脅實在太難偵測,傳統依賴特徵模式比對的安全防護完全無用武之地。現在的重點是,諸如防火牆、IPS 及網頁及電子郵件的安全閘道等傳統防護措施,都屬於「縱深防禦」(Defense In Depth)或多層次防護(layered defense)策略的前線,但單靠這些措施無法偵測到現今的進階式威脅。
當今聯邦機構所面對的威脅都是前所未見的,其攻擊面向與景觀都較過去險惡。大致而言,主要的「威脅者」有四大類:傳統的網路罪犯、激進駭客(hacktivists)、內部威脅(insider-threats),第四類則是我們見到的越來越多的由國家所支持的攻擊。所有的這些威脅都會採用各式的方法以達到攻擊目的,從阻斷服務攻擊 (DDoS) ,最基本的資料竊盜、零時差攻擊、進階的惡意程式,但更多的是滲透到政府機構的網路以及最珍貴的資料。
以生命周期防護來解決進階威脅
全球資安威脅瞬息萬變,因此,在持續的網路及資訊安全運作中,技術、流程與人員協作是相當重要的。
至於該如何即時掌握資安情況,以協助判斷並處理外來和內部的威脅,情報資訊則是關鍵。而生命周期防護法能將所有這些元素整合為一個可重覆執行的流程,因此,建議政府機構部署生命周期防護,以建置一個完整的多層次防護流程與策略。
生命周期防護策略的三大階段
生命周期防護策略包含了三大功能:
.階段一 - 持續的運作:生命周期防護一開始就要把偵測及封鎖所有已知的威脅做為日常運作的一部份,而未知的威脅事件則放在防堵階段(containment)。
.階段二 - 意外防堵:分析出未知的威脅並利用「封閉式迴路反應」(closed-loop feedback)緩解威脅,透過與其他安全系統自動共享的全球威脅情報為組織安全施打未來攻擊的預防針。Blue Coat 全球情報網路擁有全球數以千計的企業組織以及數百萬名使用者共享的威脅資訊,讓防護系統能夠學習、應用及演進,以領先進階威脅一步。
.階段三 - 意外解決:資料外洩事件發生時馬上調查、分析,快速補救,並透過全球情報網路共享調查的結果,讓未知的威脅成為已知威脅。
對組織的長期價值
在採用生命周期策略與運作方式之下,政府機構可以自己定義組織內安全架構中每個系統與功能的關鍵流程與角色,以達到進階威脅防護目標,並對未知的威脅免疫。這樣的策略讓機構能夠主動修補損失,快速解決問題,從事件中學習並運用新的情報知識避免未來可能攻擊的發生。

 

參考連結: http://www.bnext.com.tw/marketinfo/view/id/48227

回頁首