在10月3日遠東銀行通報資安事件爆發之後,微軟是第一批進駐參與緊急處理的軟體廠商之一,儘管囿於保密協定無法透露處理細節,不過,臺灣微軟資訊安全暨風險管理經理林宏嘉表示,這次遠東銀行資安事件帶來的最大啟示是,「現今資安已經沒有前線、後線之分,不能因為應用程式位居牆後,就不進行強化」,許多企業過去認為封閉、安全的環境,反而被忽略,成為駭客攻擊的弱點。
微軟原先就已經有團隊常駐於遠東銀行。而在10月3日遠東銀行通報資安事件爆發的初期,微軟隨即開始進駐給予協助。他表示,趨勢科技、微軟之外,亦有其他廠商合力協助遠東銀行,在會議結束之後,各廠商也隨即進行作業。
而林宏嘉表示,微軟團隊第一時間所做的事情,除了檢查遠東銀行所建置的微軟環境中是否有異常外,也分析是否存在新攻擊手法,「我們也有檢查是否存在零時差漏洞,不過並沒有發現有這樣的漏洞存在。」除了檢查漏洞外,「我們投注更多時間進行強化」,林宏嘉表示,微軟的多數產品,像是Windows作業系統、AD Server、SQL Server各自都有一套標準的強化流程,「無論企業是否遭受攻擊,都會使用最高標準進行檢驗。」他舉例,例如針對AD服務,微軟就會對系統架構、權限、使用者稽核管理機制、事件紀錄進行查核。
林宏嘉也表示,現今攻擊手法越來越複雜,往往是綜合多種手法、管道及行為模式,「不容易將事件收斂成單一成因」,如果要檢查各種可能性,會將分析作業時間拉得過長,「不能只投入心力找病因,卻忽略要止血。」根據他觀察,現今許多攻擊事件的發生地點,已經不再只鎖定前端應用程式。像是APT攻擊、指向性攻擊,「這類客製化的攻擊,只鎖定特定的企業、組織」,而駭客也會利用一些企業認為不太重要的資訊,作為攻擊入口。例如,取得員工姓名、電子郵件,建立企業內每個員工專屬個人檔案,以及勾勒出每個員工的使用行為,開始進行攻擊。
也因此,林宏嘉建議,企業應該要開始投注心力,檢視過去那些被視為安全的環境,例如,內網環境或是被防火牆所保護的應用程式。他舉例,像是利用內網連線的人資、請假系統,相比允許外部存取的應用程式,「兩者的資安防護強度是否一致?」他說。
林宏嘉表示,允許外部使用者連線的系統,企業可能願意投資許多成本強化,像是入侵防禦系統(IPS)、網頁應用程式防火牆(WAF)、防毒牆,確保不會遭受攻擊,「駭客想發動攻擊,至少要突破6至7道關卡」,但是部署在內網環境的應用程式,只要碰上使用習慣不佳的內部員工,就可能成為駭客瞄準的攻擊弱點,「但是企業未必願意投注相仿的資源,保障內網環境的安全。」
也因此,林宏嘉認為,企業在資安防禦上可以引入多層次防護,建立多層防線,提高駭客發動攻擊的難度。他舉例,像是中世紀歐洲城堡的設計,除了外層的護城河外,內城牆區也有多層防護,「它的設計邏輯便是假定城牆被攻陷後,如何利用多層防護,延長外部敵人入侵所需要的時間。」文⊙王立恒
熱門新聞
2024-12-16
2024-12-16
2024-12-17
2024-11-29