Fortinet 技術顧問 冼柏齡歸納三個重要的經驗分享。首先,跨多樣數位通路的公眾資產需要進行監控,其次針對品牌保護的數位風險,應主動監控疑似偽冒網站、常用社群媒體如FB、IG的可能偽冒內容、對外服務的行動應用程式風險。最後論及暗網情資蒐集監控,重點大致有三,一是儘量避免使用組織郵件帳號註冊外部網站,二是監控駭客針對性的情資蒐集,三是評估廠商/供應鏈資安狀況。

隨著數位轉型浪潮推進,許多組織不僅部署多樣的數位資產,亦採用多樣的數位通路來執行各種活動,殊不知同時間駭客在一旁虎視眈眈,伺機透過這些數位資產對組織發動攻擊。

因此毫無疑問,無論政府機關或民間企業,一旦未將資安納入數位轉型的關鍵基石,恐面臨接踵而來的數位風險,後果不堪設想。為此Fortinet技術顧問冼柏齡針對數位風險防護議題,展開多個面向的探索分析,旨在協助政府部門從容應對資安風險、強化數位韌性。

瞄準三大面向,強化數位風險防護
冼柏齡指出,現今數位風險層級持續擴增,若以政府機關角度來看,由內而外至少涵括三層級。第一層以資安人員為核心,平時執行許多安全運維、設備管理、事件處理、日誌檢視等作業。第二層為邊界曝露的風險,伴隨政府數位化,導致有更多安全課題需要考慮,例如對外服務的設定是否正確、是否有其它的軟體或服務的資安風險等。第三層是外部曝露的風險,意指政府機關不能直接控制的場域,如社交媒體、Internet網站或暗網等等,往往潛藏更大風險。

要想有效因應風險,須根據駭客思維,順藤摸瓜找出可能的入侵途徑,進一步形成主動式防禦策略。因此各機關需要高度關注駭客攻擊前的情資蒐集樣態,包括公開資訊蒐集、域名和子域名探測、網路通訊埠號與服務探測、漏洞掃描、社交工程情資蒐集、電子郵件地址與憑證蒐集、網路架構與基礎設施分析、員工與關鍵人物資訊蒐集等。

「我們假設自已可能被駭,預想駭客可能利用什麼資訊展開攻擊,繼而『向左思考』,」冼柏齡說,各組織應化被動為主動,察覺駭客早期偵查行為,藉以識別新增的惡意程式來源與檔案,此後便有機會阻擋武器化惡意檔案派送、在獲取可用補丁前屏蔽弱點、遏止惡意程式安裝與執行,更聰明地瓦解資安攻擊鏈。

大致上來說,所謂的數位風險防護(DRP)包含三大面向。一是「外部攻擊面管理」,意指組織需要探索其數位資產,從中挖掘曝露在外的攻擊面,掌握外部資安風險。二是「針對品牌偽冒的防護」,當組織透過數位通路發展業務的同時,應有能力識別仿冒的域名、可疑的應用程式,甚或監控社交媒體,將品牌偽冒的行為予以檢舉或下架。三是「針對攻擊者的情資監控」,除可見的數位通路外,進一步朝向暗網、地下論壇與市集…等檯面下的資訊交易管道主動出擊,理解有無與自身相關的帳密或其它情資外洩,據此展開對應的資安強化作為。

嚴格監控數位資產,並加強暗網情資蒐集
談到外部攻擊面管理(EASM),第一步需針對組織的數位資產範圍全面探測,藉此識別曝露的已知與未知資產及相關安全問題(如漏洞、設定錯誤),從而確認問題修復的優先級別並進行補強,最終執行差異比對,識別補強前後的資安態勢變化。

冼柏齡提醒,通常政府機關有很多關鍵服務、系統或應用程式,管理者對此知之甚詳,會做比較完整的防禦與規劃。因此在評估資產風險時,亦需涵蓋其他部份,如次要資產,像是一些輔助性的數位網站、數位內容、數位App等;抑或隱藏資產,譬如組織已不再使用或遺忘管理的資源。如此才能在駭客找到你的問題前,先進行處理。

至於品牌偽冒防護,主要考量點包括域名仿冒、網頁換置、可疑的應用程式、攻擊者使用社群媒體進行偽冒。組織應及早檢測並採取行動,以保護品牌價值並降低釣魚攻擊風險。

但在品牌保護過程,往往會面臨挑戰;例如礙於海量數據難以管理、跨境執法障礙、新興技術濫用,以致監控與執法困難。此時組織即需藉助系統化機制,協助爬取與蒐集相關資料,再輔以AI等新興科技工具,以便在法律框架外超前部署,加強保護組織的版權與商標。一旦檢測到偽冒網站,或有人打著組織名號進行可疑活動,應立即下架處理。

有關情資監控,主要範圍落在暗網、地下論壇與市集、開源情資交換…等區塊,當組織發覺自身資料外洩,即可快速定位可能的洩漏管道,執行資安事件的查找與反饋動作。另值得一提,因為供應商往往擁有更高權限與連線,所以各組織亦需針對供應商進行資安風險評估。

總括來說,冼柏齡歸納三個重要的經驗分享。首先,跨多樣數位通路的公眾資產需要進行監控。舉凡未知或被遺忘的資產、肇因於委外或自營服務的風險曝露,乃至漏洞修補進度,皆是關注的重點。

其次針對品牌保護的數位風險,應主動監控疑似偽冒網站、常用社群媒體如FB、IG的可能偽冒內容、對外服務的行動應用程式風險。最後論及暗網情資蒐集監控,重點大致有三,一是儘量避免使用組織郵件帳號註冊外部網站,二是監控駭客針對性的情資蒐集,三是評估廠商/供應鏈資安狀況。

Fortinet長期與眾多國際組織(如NATO、國際刑警組織、世界經濟論壇…等)進行情資交換合作,致力打擊網路犯罪;以2023年而言便協助阻止5萬多件網路犯罪行為。因此Fortinet期望藉由提供資安能量,與臺灣的政府機關合作,共同提升數位風險防護力。

熱門新聞

Advertisement