Blue Coat亞太區技術長 Matthias Yeo

SSL這個目前已廣為運用在許多企業進行HTTP連線時會採用的一種安全加密技術,過去是為了幫助企業確保資料傳送安全而架起的一層保護傘,現在,卻變相成為了駭客輸送惡意攻擊的新管道。Blue Coat亞太區技術長Matthias Yeo指出,「SSL是造成近年來大量惡意軟體,特別是綁架勒索攻擊,如CryptoLocker 、TeslaCrypt等發生的主要元兇」。

Matthias Yeo表示,越來越多的駭客為了讓惡意程式能順利規避資安設備的檢查,開始大量將惡意程式隱藏在以SSL技術建立的加密通道中,來躲避安全設備的偵查,藉此長驅直入企業內部植入惡意木馬,而成為了企業資安防禦上的新盲點。

2年內,使用SSL的惡意軟體數量爆增58倍

Matthias Yeo也以近期自家實驗室發布的一份有關惡意軟體的趨勢報告,來解讀SSL之所以造成企業資安防禦盲點的原因。這份調查針對了2014~2015年之間所出現的惡意軟體樣本加以分析發現,過去2年間,惡意軟體利用SSL加密連線來發動攻擊的數量急遽增加,在剛開始將近1年半的時間,利用SSL連線來執行的惡意軟體數量僅有500個,到去年9月至12月之間,短短4個月,卻突然爆增到了29,000個,數量是原先的58倍之多。

另外駭客用來下達攻擊指令的C&C伺服器,近年來亦開始大幅採用SSL加密連線來進行網路行為操控,這份調查報告也顯示,利用SSL的C&C伺服器數量從2014年第3季的1,000臺,到了2015年增加到了20萬臺,足足爆漲了200倍。

SSL過去幾年雖然已有被利用在網路犯罪攻擊,但次數並不多,直到最近2年才開始出現大量盛行,甚至搖身一變成為駭客現在用來隱匿惡意行蹤都會採用的共通手法。這份報告也特別引用了Gartner的預測數據來佐證,2017年將有過半數以上鎖定企業發動的駭客網路攻擊,都將會採用SSL加密連線方式來執行。

Matthias Yeo表示,隨著越來越多的企業開始大量採用SSL來傳送資料,也讓駭客現在要入侵一家企業內部竊取資料,變得比以前更容易,他表示,通常企業內部都會設有資安防禦機制,例如配備有防火牆、IPS、DLP等,以阻擋來自網路的攻擊威脅,可是這類資安設備並無法有效偵測到隱藏在SSL之下有異常的加密流量,以致於當企業大量採用SSL時,也讓駭客更容易將惡意程式隱匿在企業連線使用的SSL中,進而繞過安全設備成功竊取企業機密資料。

要防止SSL遭駭客所用,關鍵在落實企業資安防護的正確觀念

Matthias Yeo也舉了他近期接觸到的一家企業客戶當例子,這家企業內部有將近6成的網路流量都是透過SSL加密來遞送資料,可是當他們進一步將這些SSL加密流量拿來事後分析後發現,其中光是利用SSL寄送的資料量竟然有多達600GB,這些資料都被傳送到未分類的網站和一些惡意網站,但這家公司內部的安全設備,如DLP等都未能偵測得到,因而造成企業資料外洩的發生。

Matthias Yeo也說,若以平均一家公司在資安投資1千萬來估算的話,當企業內部有6成流量都是透過SSL來傳遞時,也就代表這家公司的資安設備只能監控到4成流量,等同於企業有6成資安投資是白白損失掉,也就是600萬元,駭客總是能利用SSL繞過這些資安設備的監控,在企業內部通行無阻為所欲為,「這對於企業來說,是一個很大的資安漏洞,也是造成企業資料外洩的主因之一。」他說。

不過,即使有越來越多駭客開始利用SSL加密來規避企業偵查,進而發動惡意攻擊,但Matthias Yeo表示,要防止駭客利用SSL來遞送惡意行為並不困難,企業只需採用具備SSL加密通道檢查功能的資安設備,或者選用可解析加密封包的安全產品,就能找出躲藏在SSL中的惡意程式。

不過Matthias Yeo認為,要防止SSL遭駭客所用,真正的關鍵還是在於企業資安防護觀念的落實。他表示,至今之所以會有越來越多的惡意軟體都效法採用SSL方式來執行網路犯罪行為,在於許多企業的心態遲遲無法跟上資安防禦的腳步,對SSL始終抱持被動的態度,認為採用SSL加密能提供企業所需的資料安全保護,而較少有安全疑慮,即便是認為採用SSL有風險的企業,也會擔心若加強SSL加密流量的監控,恐造成用戶隱私或影響企業效能的問題,也正因為「企業有這種封閉的想法,才讓駭客因此找到企業資安防護的缺口,而有了可趁之機。」Matthias Yeo表示。

SSL儼然已成為近來駭客規避偵查最愛用的攻擊手段,企業也得盡快將這塊資安缺口填補,才能將威脅降到最低。── Blue Coat亞太區技術長  Matthias Yeo

網路威脅情報的能力成為企業對抗APT攻擊的新利器

當然,除了SSL為企業資安防護帶來新的挑戰以外,面對越來越多的APT (Advanced Persistent Threat,先進持續性威脅)攻擊,企業也常常難以有效防堵,甚至有時根本不知道自己何時被駭,等到發現或收到通知後,這時早已損失慘重,所以,近年來,網路威脅情報(Cyber Threat Intelligence,CTI)這個資安防禦新概念,則成為資安界火紅的熱門話題。有別於傳統資安作法,在面對駭客攻擊時,始終趨於被動的一方,例如僅以黑名單來阻絕惡意行為等,CTI反而是透過主動出擊,從攻擊方著手分析駭客的思維模式、犯罪動機和攻擊手法等,從中找出保護企業資安重要資產的新方式。

Matthias Yeo也認為,面對新世代的網路攻擊威脅,例如APT等,企業應具備有CTI的能力。他解釋,有時企業在採購資安設備時是基於投資考量,以選用能替公司發揮最大避險的資安產品為主,但卻可能因此未做到周全的資安防護,而讓駭客有了趁虛而入的機會,而透過建立起CTI方式,則是能夠幫助企業更容易發現以往難以觀察到的駭客入侵的蛛絲馬跡,透過早先一步洞悉對方會採取的行動模式,或接下來還有哪些攻擊手法,哪幾類產品設備具有高資安風險等,及早在企業內部架起一道資安高牆來防堵。

而且不只是APT攻擊得需要CTI的能力,就連現在出現的一些綁架勒索軟體也都得靠CTI,才能即時發現這些有異常的網路行為,及早因應。Matthias Yeo表示,現在一些勒索軟體在進行惡意活動時,往往會偽裝成看似正常的網站行為,例如使用科技類的網域名稱,來發動攻擊,這就是利用將惡意攻擊行為隱藏在正常科技入口網站中,而使得傳統安全設備不容易察覺而難以阻擋,因而提高企業受駭的機率,嚴重甚至得支付龐大贖金,才能贖回企業遭加密的重要資料;而將惡意軟體放置在大學等學術網站提供連結讓人下載安裝,則又是另一個將駭客惡意行為偽裝成合法的典型攻擊例子。

Blue Coat亞太區技術長Matthias Yeo去年參加臺灣資安大會時也曾指出,面對APT該有的因應關鍵,不在於企業能不能找到預防方法,而是在於及早發現攻擊入侵根源,可以利用加入新的偵測機制,例如採用安全分析平臺,提升企業內部安全檢測能力,並透過像是情境感知、事件應對、數據遺失偵測與分析、連續性監測、進階惡意程式偵測等,找出攻擊來源,進而從源頭直接阻斷,來降低受駭災情。(圖片來源/Blue Coat)

企業能藉由資安交流或資安廠商協助來提高CTI能力

企業要提高自身CTI的能力,目前常見的作法是可以透過參加各種重要的資安技術會議,藉由世界頂尖資安高手分享最新駭客攻擊手法,來第一手習得駭客採用的技術、入侵企業的手法,以及駭客背後攻擊組織等資訊,來增加他們對於駭客情報的掌握;或者是也能利用資安業者提供各種的資安白皮書或資安報告,來協助企業了解駭客攻擊的種種行動模式。

Matthias Yeo也認為,企業在資安交流以外,還能透過資安廠商的協助來提高CTI的部署能力。他表示,現在越來越多的資安廠商也開始將CTI與資安產品整合,來提供企業更智慧的資安防禦手段,企業可以靠著結合這些具備CTI功能的資安產品,來建立屬於自己的網路威脅情資平臺,甚至可以利用資安公司打造的全球CTI網絡,透過企業彼此間的網路威脅情報共享,來更有效發揮網路威脅偵測的預警作用。

企業應用上雲端與IoT將是下一波資安防禦重心

當然,企業不只是要盡快提高CTI能力,以應付駭客日新月異的攻擊手法,另一方面也得為因應新興IT技術的興起,而得建立新的一套資安防護機制,例如雲端、物聯網(IoT)和大數據分析等技術的成熟,帶動了企業應用、終端裝置或設備也都跟著上雲端,使得資安問題的隱憂開始浮上檯面。

Matthias Yeo表示,隨著上雲端的企業越來越多,甚至有越來越多大型企業開始將一些常用的雲端服務,做為企業內部的主要應用,例如微軟Office 365等,企業也得開始著重雲端應用的安全問題。不過當企業開始將雲端應用來取代企業內部應用後,所帶來的另一個安全疑慮,即是企業漸漸失去對於原本內部應用的資安主導權,而得仰賴雲端廠商的資安基礎設施來提供安全保護。這使得在一些特殊情況下,企業無法立即掌握受駭資訊來即時因應處理,例如員工密碼被盜取而遭下載大量機密文件時,這時企業就得等到雲端廠商發現後通知才知道,但早已為時已晚了。

有鑑於此,Matthias Yeo表示,近來一些資安廠商也開始推出鎖定雲端安全保護的資安產品,例如Blue Coat去年底就推出了一個能提供雲端SOC(資安監控中心)功能的資安產品,可將企業存取外部雲端應用的過程,一併納入資安風險控管,來補足企業在公有雲服務的資安缺口。Matthias Yeo指出,未來企業如何在朝向應用上雲端的同時,將資安主導權重新拿回到自己手中,將成為企業另一個新挑戰。

此外,Matthias Yeo認為,隨著開始有更多的裝置連網,小到手錶、手環、大到電視、冰箱、汽車等,將使得IoT的安全議題持續發酵,他也預期明年針對IoT設備端和雲端的安全防護產品,及其相關解決方案,將會越來越多。

 

 CTO小檔案 

Matthias Yeo

Blue Coat亞太區技術長

●      學歷:國立新加坡大學計算管理碩士

●      經歷:在行動安全、網路防禦及資安風險評估已有14年資安經歷,過去也曾任職McAfee、EDS等資安、科技公司負責資安防禦工作,也曾被延攬進入新加坡政府資訊部門從事資安研究,目前則負責協助Blue Coat亞洲的企業客戶來改善資安防護策略

 

 公司檔案 

Blue Coat

●      總部:美國加州Sunnyvale市

●      成立時間:1996年

●      主要業務:網路安全防護、網路設備應用優化、行動裝置安全服務

●      網址: www.bluecoat.com

●      執行長:Greg Clark

●      總裁兼營運長:Michael Fey

●      員工數:超過1,700人

●      年營收:約5億美元(2011年)

 

公司大事紀

●      1996年:CacheFlow成立(Blue Coat公司的前身)

●      2000年:以1.7億美元收購中介軟體技術公司Entera

●      2002年:正式更名為Blue Coat

●      2006年:收購Network Appliance旗下產品部門NetCache、併購SSL VPN設備商Permeo Technologies

●      2008年:以2.6億美元收購網路應用設備商Packeteer

●      2012年:買下網路安全平臺業者Crossbeam Systems

●      2013年:併購先進威脅安全分析產品業者Solera Networks

●      2015年:以2.8 億美元收購雲端安全解決方案廠商Elastica、買下企業雲端資料保護方案業者Perspecsys

●      2016年6月:被防毒軟體商賽門鐵克以46.5億美元收購,預計雙方將在今年第3季完成併購

熱門新聞

Advertisement