為因應越來越頻繁的重大攻擊事件,曾任花旗銀行資安官,現在是OneDegree資安負責人的周彥儒,在資安大會的演講中建議企業,應該要全面進行曝險評估、弱點評估以及滲透測試,從各種層級和角度測試企業的弱點,並且阻斷駭客的攻擊鏈,以提升企業資訊安全。而隨著重大資安攻擊事件發生頻率增加,周彥儒也認為企業應該要增加測試系統脆弱性的頻率,才能跟上駭客的腳步。

「企業和駭客攻防戰,存在不對等的戰爭」周彥儒點出了企業防禦駭客入侵的困難之處。企業在明駭客在暗,企業需要付出巨大的成本和精力,全面提升企業的資訊安全,而駭客只要從企業的系統中找到一個漏洞,就能夠利用該漏洞突破防禦,入侵企業重要的系統。周彥儒解釋了當前最流行的駭客攻擊模式,整個攻擊過程從針對員工的魚叉攻擊開始,突破企業的防火牆進到內網,駭客會選擇先在企業中較不重要的系統著陸建立持續性,並且開始橫向移動,逐漸提權最終攻下企業的關鍵系統。

周彥儒強調,唯有從駭客的思維了解企業曝險,才能建構有效的防禦策略。以上述的例子來說,主要的弱點有兩個,第一個弱點是員工的資安意識,他引用ATT&CK框架的調查數據,當前有超過7成的網路攻擊事件,都是從釣魚郵件開始,另一個則是允許駭客在企業中橫向移動的弱點,即便駭客已經在企業的系統中建立持續性,但也僅是在權限較低的系統,唯有經過橫向移動,逐漸提升權限後,才會真正威脅到關鍵系統,因此周彥儒認為,企業可以投入更多的資源,對員工進行釣魚攻擊演練,並且在企業系統中找出能阻斷駭客橫向移動的方法。

曝險評估次數應增加至每周一次,弱點評估則至少每月一次

「企業不能僅是想要達到法遵要求,過去達法遵可能資安分數還及格,但現在可能只有30分」周彥儒舉例,從今年初以來的各重大資安事件,每一家企業皆滿足法規要求,但唯有在發生攻擊事件後,企業才會真正發現弱點所在。

除了目前最流行的駭客攻擊模式,其他常見的攻擊手法還有包括盜取員工的VPN帳號,或是透過攻擊供應鏈等模式,他強調,企業應該從駭客的角度思考,強化容易受到攻擊的弱點,才能有效防堵攻擊,而企業通常以三種安全檢測方法來偵測不同特性的的弱點,分別為曝險評估、弱點評估以及滲透測試,這三種分法的廣度由寬到窄,但是深度則是由淺到深。

不具侵入性,且自動化程度高的曝險評估,透過發現並且最大程度減少企業外部足跡,在ATT&CK框架中,進一步避免弱點被駭客探嗅到的機會,而弱點評估則是指利用自動化掃描,找出普遍已知的漏洞,特別是能夠發現Day 1漏洞,而滲透測試則更具針對性,有較高的侵入性,透過模擬攻擊來發現企業還未知的嚴重漏洞,這項測試需要專家人工進行,測試頻率也較低。

由於駭客攻擊的頻率增加,周彥儒認為企業進行安全檢測的頻率也要增加,像是曝險評估不到一周應該就要執行一次,而弱點評估的頻率可從一季一次增加到一個月一次,滲透測試則可從每年一次提升到半年一次。

但拉高偵測頻率,也就代表著成本增加,周彥儒整理了自建、委外專案和SaaS三種安全檢測執行方式的比較。自建需要企業自己培養人才並且購買工具,好處是可以頻繁地執行檢測,而周彥儒提到,不少企業都是採用委外專案,企業就不需要花費購買工具的成本,但是由於在計價上通常還是計算人力工作小時,雖然不及企業自己培養團隊,但仍需要付出較高的人事成本。

而周彥儒提到人事成本和工具成本最低的是SaaS,以軟體即服務的形式按需進行安全偵測,可以達到跟自建相同的測試頻率,並且也能比委外專案還要快的速度拿到測試結果。從企業關注的成本來說,他認為SaaS低於委外專案,並且遠低於自建,而從敏捷性和彈性考量,SaaS安全測試服務與自建相當,都比委外專案更靈活,因此綜觀所有因素,採用SaaS是較佳的選擇。

熱門新聞

Advertisement