為什麼建議採取智慧化資安機制對抗零時差攻擊?無論資安策略或是資訊設備、系統,誕生時不一定擁有最完美的姿態,勢必需要花費心思持續精進,補強不足之處,但所謂的漏洞可能在您我尚未覺察之際,就被見獵心喜的駭客組織利用了。
Bryan做為資深資訊人員,在IT運維領域有著豐富經驗,還需同時兼顧公司資安。他時時刻刻關注國內外零時差漏洞的相關消息,才能在第一時間維護自家設備及系統,可當原廠釋出安全性更新時也並非照單全收,持續運維、相容性等評估環節所費工時不貲,故更加擔心流程之間的時間差被有心人士盯上,導致後續資通安全災害。
零時差漏洞vs.企業資安 連Google也遭殃的大規模DDos
「說實話,連Google跟AWS都會被攻擊了,我可不覺得自己比他們神通廣大。」翻閱新聞報導的Bryan不禁苦笑道。「誰不想修補所有漏洞?大家都ㄘㄨㄚˋ咧等啊!」
Bryan說,非資訊、資安相關背景的人第一次聽到零時差攻擊(Zero-day Attack),通常會滿頭問號--零時差是什麼?駭客住在美國的時差?其實指的是發現漏洞的時間點,到修補完畢之間的空窗期,駭客利用尚未修補的漏洞發動攻擊。
三大網路公司Google、AWS(Amazon Web Services)與Cloudflare在2023年10月紛紛揭露,因HTTP/2協定的零時差漏洞而遭遇了分散式阻斷服務(DDoS)。駭客利用多工串流(Stream Multiplexing)功能縮減攻擊成本,企圖癱瘓企業Server端的網路,比如攻擊Google的流量達到每秒3.98億次,是過往攻擊紀錄的7.5倍,AWS也持續偵測到如洪水般的流量,可謂史上最大的DDoS攻擊,若上述情況發生在一般企業,沒有足夠的資源與能量可以抵擋攻擊,或成殭屍網路為駭客組織所用。(延伸閱讀:那一夜,我的主機自己動了起來)
人們常用來壓縮或解壓縮檔案文件的WinRAR,也傳出檔案處理過程中存在漏洞,並早在半年前便遭到駭客濫用,製作檔名看似無害的惡意程式,散布在加密貨幣交易論壇上,經由資安研究人員調查,惡意程式已感染了數百台裝置,而且來自俄羅斯及中國駭客的攻擊未曾停歇,仍未將WinRAR升級到最新版本的用戶絕不可掉以輕心。
不再擔心0-Day的時差 用智慧化的資安扭轉賽局
「預防當然要做,但神出鬼沒的駭客實在防不勝防,科技的問題還是得靠科技來解決。」Bryan點亮了電腦螢幕,螢幕上正是資安監控畫面。
基本上,設備或系統的原廠會以最快速度修補已揭露的漏洞,以免自家產品成為滋生惡意病毒的溫床。Bryan也表示,如果不顧及服務穩定性、可用性,只把安全性擺在第一順位考量的話,他一拿到安全性更新就會立刻安裝。
然而公司的各項業務都仰賴資訊系統,任何動作不論大小皆不可恣意妄為,營運不中斷才是最高層級目標。在漏洞補丁完成之前,那點時差成了兵家必爭之地,為此,Bryan也決定提案導入包含資安監控中心SOC機制的完整解決方案,大幅縮短偵測與回應的黃金應變時間,可有效完善公司的資安措施。
事前-預防勝過治療
- 風險評估:區分資產價值等級與風險衝擊值,以檢視資安策略不足之處。
(延伸閱讀:資安策略再精進 您要知道的定期稽核與風險評估) - 弱點掃描:檢測安全漏洞和弱點,防止被有心人士利用。
- 滲透測試:模擬駭客行為找尋安全漏洞和弱點,確保防禦能力。
- 社交工程演練:模擬釣魚郵件、冒充身份等攻擊情境,加強員工資安認知。
(延伸閱讀:提升員工資安意識,破解社交攻擊手法)
事中-緊急應變
- 郵件過濾:自動過濾垃圾郵件,沙箱驗證郵件連結和附件,防禦外部威脅。
- MDR:監控與分析端點設備,若有異常活動或安全威脅,則採取隔離行為。
- DLP:監視、識別和保護機敏資料,防止資料外洩。
(延伸閱讀:恐罰1500萬?掌握個資維護辦法七大重點) - WAF:監測、過濾網站進出流量,保有網站的安全性和可靠性。
事後-持續精進優化
- 事件紀錄:包含系統和應用程式錯誤、異常等紀錄,可用於事件分析。
- 事件鑑識:資安事件調查分析,辨識攻擊行為和手法,以改善資安措施與防禦策略。
- 特權帳號管理:控管特殊權限的帳號,減少不當使用或遭受侵害的風險。
(延伸閱讀:3W管理法是什麼?一起杜絕駭客共享特權帳號) - 漏洞管理:定期檢測、評估和修補可能存在的安全漏洞和弱點。
- 災難復原:制定備份、備援與恢復等災害應變程序,確保企業營運不中斷。
自動化與智慧化傻傻分不清楚?資安還要更聰明
「事情發生了才通知我,真的有點晚了,應該是有什麼奇怪的徵兆就要跳出警示,我才能很快地去處理。」Bryan述說他對資安工具的願景。
過往很多資安工具都標榜「自動化告警」,事實上卻是異常發生時才產生警示訊息,此時已經算是「事中」後期,乃至「事後」的處理流程,資訊與資安人員往往需要一邊排除突發事件,一邊承擔營運中斷責任,故Bryan期望智慧化工具的導入,可以減少每次突發事件所面臨的壓力山大。(延伸閱讀:萬事皆可AI 如何用資訊管理工具盯資安)
預先取得規則的自動化
為了提高效率,降低人力介入成本,可事先建立規則,將原本人工處理的工作流程,轉化為設備或程式可自動化執行的程序,但不具備學習能力,無法自主改善工作流程,只是依循規則自動執行預定任務。
Bryan就提到傳統的防毒軟體,其病毒資料庫囊括了所有已知的惡意威脅,可做為「規則」使程式偵測到對應危害時,自動採取刪除或隔離措施。那麼,未知的威脅是否就會被防毒軟體輕輕放過了?
活到老學到老的智慧化
與自動化最大的不同,是智慧化擁有根據數據和情境驅動決策的適應性,可透過機器學習(Machine Learning,簡稱 ML)自主調整、優化工作流程,不斷改進性能以達成目標,也可更靈活、彈性地應對工作情境。
SOC的威脅監控運用了智慧化機制,除了已知的惡意威脅外,還可以針對網路流量異常、非常態DNS要求等可疑活動及入侵指標(IOC),建立資安事件警示,以利第一時間掌握黃金應變時間。
智慧工廠、智慧製造皆是時下最夯的議題,顯現了自動化的效益已無法滿足市場需求,企業無不期望透過數位轉型讓業績、營收更上一層樓。而Bryan認為,不管從資安人才短缺,或企業降本提效的目標來看,資安智慧化也是勢在必行。
藉由機器學習自主調整工作流程,無需人力介入即可解除異常狀況,將資安事件帶來的損失降到最低,同時節省人力處理成本,將是因應零時差攻擊的強大利器。
※ 本篇內文三張圖片可用於不營利之商用、私用,來源標註「鼎新電腦」即可。
※ 素材圖源:梗圖倉庫。
