果核推出資安評級服務,協助企業檢測網路駭客病毒的威脅!
回顧近半年,遭受勒索病毒感染的企業不在少數,深究這一波事件的感染原因,大多起因於 VPN、Exchange 等漏洞的One-day 攻擊。果核數位經理曾國韋認為,這個現象的背後隱含非常嚴肅的課題,意謂只要資安治理基本功不到位的企業,幾乎沒有機會逃得過駭客的突襲。
唯今之計,曾國韋建議企業宜儘速亡羊補牢,導入資安評級服務,以最快速度盤點企業的外部 IP 資產,以自動化方式梳理相關連接埠的漏洞狀態,及早發現問題、即刻進行修補,力求將攻擊面縮到最小。著眼於此,果核與 SecurityScorecard 展開策略合作,推出訂閱制的資安風險係數評估服務,正式跨足資安評級服務的新戰局。
邊境網通或資安設備,今後可能成為駭客鎖定標的
所謂 One-day Attack,乃是駭客在原廠公開修補程式之際,趕緊投入研究,進行修補程式的差異分析,探索其漏洞落在哪段程式或哪個模組,找出對應的攻擊代碼或指令,接著撰寫攻擊程式,針對尚未更新的企業展開襲擊。
持平而論,上述差異分析難度不低,導致駭客必須花費一段時日才能完成分析作業;因此按照常理,從原廠釋出修補程式開始,企業尚有充裕時間可補強弱點。但最近 One-day Attack 發動時間大幅提前,明顯壓縮企業的修補週期;合理推測駭客可能透過監控中心或 Honeypot 等途徑,提前取得攻擊代碼,得以加速產製攻擊程式,讓許多企業應變不及。
以此次 VPN 或 Exchange 漏洞而論,只要企業的資安意識稍嫌不足、或對情資的掌握不及時,拖了幾週或幾天未完成修補,就可能遭駭客打穿防線、攻佔 AD 中控伺服器,進而被散播勒索病毒。
曾國韋推測,這回駭客攻擊得逞,日後可能繼續鎖定企業的邊境網通設備或資安設備發動 One-day Attack;而去年(2020)果核在客戶端執行滲透測試的過程,便察覺到這般態勢悄然成形。主要是因為,一來邊境網通/資安設備無法被植入代理程式,不在 EDR、防毒或其他監控機制的探測範圍;二來就算企業引進網路型監控系統,也不容易察覺箇中蹊蹺,以 VPN 為例,它與各項設備的連線頻率本來就高,很難判斷這些流量究竟是正常連線還是駭客行為。
「單憑技術面防禦,很難阻止得了這類攻擊,必須靠企業資安治理架構的基本功!」曾國韋說,可惜的是,多數臺灣企業的資安治理基本功並不扎實,總認為只要買了資安設備就可做到入侵防護,縱使投入 ISO 相關標準的合規,內化程度也不夠深,所以經常可見「稽核歸稽核、技術歸技術」的異象;反觀國外企業,多會搭配 ISO 來執行滲透測試、原始碼檢測或資安健檢…等技術性檢測,合規的內化程度相對高出許多。
因此國外企業相對積極收集威脅漏洞情資,一旦確知有急待修補的弱點,便按照既定 SOP,快速排定停機時間、完成修補,讓自己遭受 One-day Attack 的機率降到最低。更有甚者,有些企業甚至建立自動化機制,每天針對外部 IP 進行 Port Scan,期望第一時間找出資安隱憂,這些都是基本功的一環。
企業引進資安評級,公司如何自保避免駭客攻擊?
資安治理基本功的養成絕非一朝一夕,此時企業該如何自保?資安評級服務無疑就是最佳解方。曾國韋指出,以 SecurityScorecard資安風險管理系統 為例,該技術採取一種非侵入的資訊收集方式,企業只需輸入網域名稱(Domain Name)即可,它就會自動分析盤點出企業當前在Internet註冊過的網域及對外活動的相關IP網路資產,進而 24 x 7 x 365 持續性確認這些資產的資安風險狀況、幫助資安人員(團隊)即時掌握資安漏洞與風險。即便企業礙於營運單位在交接上、設定上等種種緣由,未能全盤掌握外部網路資產,也能趁此時重新了解所有網路資產對外營運風險情況。
回歸到稽核面,依照 ISO 規定的作業流程,企業若要開啟或設定相關服務的連接埠時,應該在稽核記錄單有上單的動作;經由 SecurityScorecard 分析出不一致資安風險現象,企業便可隨即檢討這些不應該開啟的服務,究竟如何開啟(重點是何時被開啟?),一種可能性是駭客擅自開啟的,但現實發生機率較低;另一種可能性出自人為疏失,有單位為了搶快、未遵照流程進行上單,好比說有人做概念驗證(PoC),向外借測伺服器接上網路,結果不曾上單也未列入資產清單,成為資安防禦上的盲點,造成攻擊之窗的資安破口。
當企業洞悉這些不正常情況後,即可展開補救措施,一方面檢討營業單位的上單流程,甚至規定日後 PoC 只能在獨立網路環境執行,避免日後再次產生不明資產;二方面根據 SecurityScorecard資安風險管理系統呈現的漏洞資訊及風險問題,迅速檢討相關對外服務的存續必要,若需要存在,就趕緊上 Patch,反之就加以關閉,讓駭客沒有機會循著這些曝露在外的資安漏洞長驅直入。
曾國韋提醒,從 ISO 的角度來看,企業做內部 IT 資產盤點時,往往只清查出有哪些設備或系統的存在,鮮少再從”外部資安角度”或”駭客角度”,進一步思考這些設備或系統需要接受何等控制;核心系統尚且如此,其他附屬的小型邊境系統更乏人關注,平常時疏於落實檢查,殊不知這些都可能淪為資安破口。然而引進SecurityScorecard資安評級服務,就能補足資安防護的最後一哩路,讓這些邊境系統獲得必要的監控與檢測,使企業與旗下關係企業共同提升資安防禦水平並成功建立資安防禦的SOP機制,使駭客再無見縫插針的機會。
瞭解更多:果核資安服務檢測服務