要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!
隨著資安法在2018通過之後,台灣資安也邁入了新紀元,台灣整體資安意識隨之抬頭,但就像很多客戶會問我們顧問團隊的問題一樣,是否做好資安防護就萬無一失呢?是否修補弱點並做好監控就可以避免被駭客攻擊呢?當然答案是「不」!爬過山的人,都知道「山不轉路轉,路不轉人轉」的道理,顯然駭客比其他職業都懂這道理,即使做了防護他還是會想辦法鑽進來。
就拿我們談到資訊安全常常被拿出來提的木桶理論來說,一間公司的資安水平並非取決於最高點,而是由資安意識最薄弱的點來決定水平的,這個最薄弱的點並不僅限於像上一篇社交工程文章提到的員工資安意識不足,
瞭解更多:網路資安防禦服務
很多時候反而是像我們就像放浴缸水要洗澡一樣,本身浴缸沒有裂痕,卻忘了把塞子堵上,自己的資安防護做好了,卻忘了堵上我們開給廠商的合作線路,就像去年底我們果核資安工程師 Jim 所發表的「從 IR 事件看後滲透測試之幽靈現身(首部曲)」演講裡提到的真實案例,委外廠商執行遠端開發和維護時導致勒索病毒擴散到內部。
安全事件應變
IR這個詞可能很多發過資安事件的人都聽過,IR的其實就是Incident Response的縮寫,也就是安全事件應變,指的是組織為資安漏洞事件做好準備的相關作業,就如同前面所說答案是「不」一樣,所以相關作業自然不是只有事前防護的部分,也包含了發生資安事件如何去做減少損失和相對應的應變行為,但不是每次資安事件都一樣,針對不同的資安事件我們需要作出適當的反應,該怎麼去計劃才能夠讓應變越來越完善,因應這個問題,非營益組織CREST也開發了一個明確的模型,將整個資安事件應變分成六個階段並構成一個循環。
1.準備
在準備階段最重要的是進行安全事件的模擬測試,並做詳盡的分析,這階段是網路安全架構和安全經營的組合,還會涉及網路運維、網路架構設計、系統管理。大致可分為下列四個要素:
監測(Telemetry)
以資安服務來說就是我們所謂的SOC監控服務,也就是將網路設備、主機等Log利用系統統一收集起來,並透過專業人士來識別和調查是否為可疑行為。
加固(Hardening)
確保系統與程式被正確安裝、配置與更新,並使用其他能阻擋攻擊的安全工具或設備。
流程與文檔(Process and documentation)
在非技術方面,流程是可以提前準備的第一道防線。在事件發生時,最糟糕的莫過於手忙腳亂地試圖弄清楚自己在做什麼。有了流程(例如應急響應預案、通知機制和溝通機制),有利於加快響應速度。
演練(Practice)
預備的最後一件事就是定期開展預案演練。
2.識別確認
識別階段是防禦者識別攻擊者,例如:
-不尋常的對外網路流量
-新建立的管理員帳號
-特許使用者帳戶的異常活動
-地理區域的不正常行為
-資料庫的存取量大幅增加
-大量請求同一檔案
-可疑的登錄或系統檔案變更
-非預期的程式修正
-DDoS活動的跡象
從事件響應的角度來看,識別階段開始,攻擊已對用戶、系統或資源有直接影響。
3.控制
前兩個階段主要是被動的部分,主要著重於信息收集。實際響應措施的第一階段是這個階段。主要是常識減緩攻擊者的攻擊,常見的方式例如抵禦越權存取、封鎖危險的 IP 與電子郵件地址,甚至在禁用某台受感染主機的連接。
4.根除
根除階段顧名思義就是排除造成該安全事件的根因,像是刪除對手安裝的所有惡意軟件和工具、重置並修復所有受影響的用戶和服務帳號、重新創建攻擊者可能已獲取的密鑰、識別出被利用的弱點。
5.復原
這個階段必須仰賴在準備階段備妥一份詳細的復原計畫,並確認所有的復原流程都涵蓋在內,以確保能儘速恢復系統功能,例如:用備份檔重置系統、通知相關的利害關係人,並找出網路中類似的弱點等。
復原階段也必須確認系統已經全面恢復運作並且受到保護。安全事件應變計畫必須考慮的要素也包括外部滲透測試,以評估復原作業是否夠完備。
6.經驗學習
最後一個階段也是最重要的階段辨識經驗學習,透過事件響應的過程了解整個過程的成因,並學習成為經驗,避免之後發生類似情形,透過此步驟形成一個正面的循環回到準備狀態,即可以讓整體資安的防護越來越完善。
在資訊爆炸的年代,除非你是原始人否則這些資安資訊都會與每個人息息相關,2019年12月美國FBI特別警告大眾,筆電最好不要與各類IoT裝置(如連網攝影機、遊戲機及智慧喇叭等)設於同一Wi-Fi網路,這個貼心提醒也更突顯出沒有所謂的絕對安全,只有小心才是上策。
就是安全事件應變來說,目前許多企業都有由網路管理員進行監控,但卻依然無法第一時間察覺問題,這部分主要是警報超載造成,面對龐大警報資訊,對於許多網管人員已經見怪不怪,往往卻因此導致事件發生時並沒有第一時間做到控制的步驟,引發連鎖效應擴散開來,以果核數位多年資安經驗,建議嘗試做自動化分類,將警報做分類達到避免重要警報被遺漏的狀況,當然請專業資安公司來做SOC服務也是一個考量,當然近年來也許多UEBA的產品,可以做到端點的監控,像是果核代理的產品CyCarrierr,就可以透過AI進行行為分析判斷,並透過圖形化簡單易懂的的介面呈現,讓網路管理員更容易地監控公司資訊安全,也能透過客製化報告來做定期紀錄,更重要的是可以保留資訊在事件發生時作為一個調查依據。
當然即使組織有完善的安全事件應變,也不一定具備事件調查的能力,然而根除的階段關鍵便在於調查事件並了解根源。就如Jim講師在演講中所提到,IR需要具備時間軸分析、記憶體分析、檔案系統查找及資料復原四個關鍵技術,或許組織不具備這樣的能力,但在請專業人員來進行事件調查之前,我們依然可以再控制的步驟做初步的抑止行為,這邊也分享給大家兩個比較萬用的解決方法,只要是非在線服務設備發生可疑行為,可採取斷網做簡單的抑止,如果是在線服務設備,則採取第二個方法--透過網路設備設定阻斷與非必要的內部所有連線。
延伸閱讀:
手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!
遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?
網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!