近年資安攻擊不斷升級,防禦難度急遽增加,驅使傳統資安策略思維出現變化,逐漸轉向「隨時做好被攻擊的準備」新主張,帶動「數位鑑識與事故應變」(Digital Forensics and Incident Response, DFIR)的重要性節節攀升。

趨勢科技在2012年成立事件調查團隊,提供資安事故應變服務,迄今累積執行逾千件的調查案件,其中包含引起社會關注的重大新聞事件。趨勢科技觀察到以往企業遭遇的資安風險,多數起因於管理複雜度過高,不易辨識潛在弱點。近年越來越多企業上雲,趨勢科技認為此舉能夠減輕管理複雜性,有助降低資安風險。

但不少企業上雲後,如何降低被駭風險仍為資安團隊的重點工作之一,許多案件的調查結果指向雲端組態設定失誤,趨勢科技意識到雲地風險成因不同,各有不同的管理日誌需要調查與解析,不容遺漏任何一方。為求精確還原事件全貌,一年前趨勢科技與Amazon Web Services(AWS)合作,雙方共組資安事故應變團隊協助企業處理資安事件。

趨勢科技台灣區總經理洪偉淦表示:「AWS是趨勢科技的重要合作夥伴,在企業面對雲地混合環境的網路威脅時,透過與AWS協同合作,為客戶提供迅速有效的事故應變處理。此外,趨勢科技資安服務也運用AWS的雲端資源,我們也期待AWS即將在台灣落地的資料中心,能協助我們提供客戶更好的使用體驗並協助台灣客戶加速落實數位轉型。」

AWS台灣暨香港總經理王定愷也表示:「AWS致力於為客戶提供先進與安全的雲端技術,搭配趨勢科技在資安領域深厚的專業,共同打造資安數位鑑識和應變處理服務,為企業客戶提供雙層級的安全防護,確保我們的客戶能在數位轉型的旅程中獲得更完整的保護。」

AWS與趨勢科技優勢互補,共同推展雲地整合的資訊安全

趨勢科技台灣區資深經理邱豊翔強調,資安事故應變是企業網路安全的關鍵能力之一。在面對現今多變、複雜、精細的網路威脅態勢,企業投入大量資源在網路攻擊的預防與攔阻,但仍需假設滲透入侵不可免,因此企業需具備資安事故應變的能力,當入侵事故發生時可快速找到入侵破口,對症下藥,控制損害,更重要的是,資安事故應變的成果可作為未來強化防禦措施的依據。

AWS進一步說明,安全事故應變的生命週期,通常以事前準備為起點,接著依序進入偵測、檢傷分類、收集證據、初步控制、根因分析、矯正、復原等程序,最後一步則是更重要的「賽後檢討」(Post-Incident Activity)。透過上述流程,舉凡何時間發現問題、何時辨識根因、何時解決問題、何時讓系統重新上線都一清二楚,足以劃出一條時間線,有助企業掌握過程中的所有細節,並且將其處理經驗轉化為未來事故應變的養分。

相較AWS與地端的資安事故應變執行過程,內容稍有不同,係因從AWS角度須增加服務層面(Service Plane)的考量。AWS環境的每項系統操作都經過API,故能利用API得知什麼人在什麼時間做什麼事,足以讓稽核流程更順利,有利於展開大規模調查。但除此之外,雲地數位鑑識分析流程大致相同,皆依循NIST SP 800-61標準。至於破案關鍵則取決於數位鑑識功力,而AWS和趨勢科技結合各自的專長,顯著提升了破案成功的機率。

成功的資安事故應變背後,無法忽視「日誌」這個無名英雄,完整的日誌內容,正如比刑事偵查員掌握足夠的指紋、毛髮或皮屑跡證,更能準確還原人事時地物的犯案歷程,避免在錯誤的方向上浪費時間。

缺少日誌,如同失去指引,事故應變團隊僅能透過邏輯推論判斷資安事故成因,不僅費時費力,且可能錯失阻斷下次攻擊的先機。接下來趨勢科技台灣區技術顧問吳光耀將以實際案例闡釋趨勢科技與AWS如何合作處理事故,並點出日誌在其中扮演的關鍵角色。

以多方日誌拼湊駭客足跡,還原入侵事件全貌

吳光耀指出,第一個案例來自電商,在某月份密集接到顧客關於詐騙電話的投訴。電商隨即展開應變,進行初步調查並補強資安措施,但仍未遏阻個資外流,於是委託AWS與趨勢科技協助處理。

後續破案關鍵,歸功於電商保留完整Amazon RDS(託管型關聯式資料庫服務)的日誌,亦建立顧客個資外洩事件清單,詳細記錄訂單成交時間、顧客接到詐騙電話的時間。事故應變團隊根據這些線索擬定調查方向,鎖定特定顧客深入調查,並分析Amazon RDS日誌,發現源頭指向一個內部主機查詢,其接連查詢資料庫名稱、訂單資料表、訂單資料內容,至此可判定為一位可疑人員的犯行。

第二個案例是某企業IT人員一天接獲Amazon GuardDuty(託管型威脅偵測服務)警報,指其主機異常使用SSH連線至非許可地區。接著IT人員緊急利用GuardDuty執行安全掃描,發現主機被植入Web Shell後門,但不知駭客如何入侵,故委託AWS與趨勢科技協助調查。

事故應變團隊發現駭客將HTTP Access Log日誌刪除殆盡,於是轉而關注Amazon GuardDuty掃出的Web Shell,從中探尋破案線索;後來針對這個檔案的時間戮展開調查,逐步抽絲剝繭,發現到更多的駭客攻擊證據,並且發現駭客竄改正常檔案的程式碼,用以持續竊取企業員工的帳號登入密碼,藉此進行隱匿攻擊。雖駭客刪除網站日誌以致跡證匱乏,無法調查駭客利用何種網站弱點成功入侵,但所幸事故應變團隊藉由其他調查機制另闢蹊徑,成功繪製入侵全貌。

由於日誌本身會留下時間、來源、帳號、操作行為等詳細紀錄,因而能協助IR人員調查異常行為,掌握時間線與線索;甚至進一步利用多方日誌拼湊攻擊者足跡,識別攻擊手法與理解事件真相。

啟用CloudTrail與GuardDuty,保有最關鍵日誌

但吳光耀在IR實戰中,經常看到一些日誌分析的痛點,包括未啟用日誌功能、日誌功能設定不當、日誌原始內容設計不佳、日誌內容過度客製化、缺乏分析工具、缺乏相關知識與經驗等等。

「只要你懂日誌,日誌就會幫助你!」AWS建議,企業若想超前部署日誌、避免淪於前述痛點,同時也務必做好以下幾點:首先,應更新AWS帳戶聯絡資訊,並定期檢視Root帳號的活動紀錄,接著啟用AWS CloudTrail稽核日誌、AWS Config組態變更紀錄與Amazon GuardDuty威脅偵測,最後,依照需求配置必要的安全日誌,事先做好準備,以應對突發的資安事故。

其中CloudTrail可被視為最重要的日誌來源,能提供關於事件發生的詳細資訊,包括執行人員、何時發生、執行所在區域、執行動作、影響哪些資源,以及執行結果。而GuardDuty也是不可或缺的工具,無須額外設定即可自動持續監控CloudTrail Logs、DNS Logs、S3 Logs與VPC Flow Logs。如未能採用GuardDuty,企業得花費心力自建威脅偵測機制及重新探索最佳實踐。此外,另可考慮搭配Amazon EventBridge(無伺服器任務排程器)以實現部份自動化回應,這將有助於資安或維運人員解放雙手,集中精力於持續完善組織的事故應變流程。

熱門新聞

Advertisement