GTM-MGX65ZP
Skip to main content
  1. 首頁 >
  2. 集團概要 >
  3. 更多訊息 >
  4. Feature Stories >
  5. 截然不同的方法—在數位化轉型時代防範網路攻擊

截然不同的方法—在數位化轉型時代防範網路攻擊

在網路攻擊逐漸升級的過程中,公司和組織應當徹底改變對於資安措施的看法。在無法完全避開網路攻擊的前提下,對策的重點從預防攻擊轉移至遭受攻擊之後將損失最小化。根據這一觀點,公司和組織必須建立專業化資安團隊。然而,因為資安人員極其缺乏,所以他們發現在內部很難保護所有基礎。

網路攻擊的強度日益增加(表1)。例如,2015年6月,日本養老金機構一名員工的電腦感染了惡意軟體,導致大約125萬人的個人資訊洩露。其它各種公司和機構也面臨鎖定攻擊的威脅。Yutaka Osugi是資安諮詢公司ITR的分析員,他斷言:“沒有一家公司或機構不是鎖定攻擊的目標。”

感染勒索軟體的情況也十分普遍。勒索軟體對你的資料加密或鎖定你的電腦,然後在螢幕上顯示消息,索要贖金。根據一家IT資安公司的調查,2016年1月至6月,日本的公司報告了1,510例遭受損失的事件,比去年同期高出九倍。

因缺乏完善的防禦,讓資安疑慮有機可乘

在大多數情況下,公司和組織忽視了對於資安措施的需求但並沒有成為攻擊目標或勒索軟體的犧牲品。即便如此,也無法安然無恙地避開這些網路攻擊。

在網路攻擊中,攻擊者總是佔據優勢。人們已有共識:不可能百分百阻止惡意軟體感染。攻擊者擁有巨大的惡意軟體庫,使用各種方法不斷的進攻。

表1:最近的資安事故案例

為了將網路攻擊的損害最小化,須從底層認知該問題。按照舊例是將攻擊擋在外圍,但時至今日。人們開始認知,即使使用資安設備也無法完全阻止網路攻擊,資安投資比例須轉守為攻下手。這意味著既要主動處理已經發生的攻擊,又要採取事後措施,將攻擊後損失最小化(圖1)。

收集攻擊者資訊,減少容易成為鎖定目標的區域

網路攻擊的措施的發展趨勢已從預防轉向提前警告。根據德國資安銷售商AV-TEST的報告,在2015年,每秒產生4.5種新惡意軟體,攻擊的速度以指數級增加。

常規的網路防禦程式將在發現攻擊時向你發出警告,然後匆忙防禦,但是在處理攻擊時,攻擊者其實已經達到目的。下一代措施必須變為監控和處理威脅,即首先確定攻擊目標。

重點是減少攻擊點,也稱為攻擊面。攻擊面最初是一個軍事用語,指可能受到攻擊的區域。在資安領域,攻擊面表示電腦、伺服器和物聯網設備。

網路攻擊的目標和方法經常改變。資安措施的重點包括:確認攻擊面的位置;涉及哪些風險;將攻擊面最小化,進而避開攻擊。

通過斷開和失能處理鎖定攻擊

即使減少了攻擊面,公司和組織也會面臨受到攻擊的風險。因此,2015年年末,許多公司開始使用新的防禦方法。例如,包含斷開互聯網連接。

通過斷開連接,主幹和資訊系統與互聯網物理分離。鎖定攻擊導致125萬帳戶的養老金資訊洩漏之後,日本養老金機構決定斷開系統,作為提高安全性措施的一部分。主幹系統完全斷開互聯網連接。在每個辦公室,通過專用的電腦終端可以進行限制訪問,旨在流覽網路和檢查電子郵件。

同時,越來越多的公司和組織開始採用使來自線上郵件和網站的惡意軟體失去能力的產品。這些產品通過專用伺服器上的虛擬流覽器查看網路以及到達內部電腦螢幕的資料流程。如果網站感染惡意軟體,則惡意軟體僅能到達內部電腦螢幕,無法到達系統。還有其它的資安產品,有些產品將惡意軟體從電子郵件附件中去除,從而使惡意軟體失去能力。

即刻建立資安團隊

雖然網路智慧強化“最好的防禦就是進攻”方法,但是仍然無法預防一些網路攻擊。實際上,為了防範攻擊,需要提前建立反應結構。最好的方式是建立“電腦資安事故反應團隊”或CSIRT-應對資安危機的專業團隊。

圖1:資安措施基本政策的變化

網路攻擊導致資料洩漏或網站篡改等事故發生之後,CSIRT是第一反應團隊,遵循預定的程式。CSIRT沒有通用的程式或團隊結構,一般包括來自系統分支機搆的職員以及來自業務分支機搆的資安監督人員,他們在履行CSIRT職責之後需要繼續實施本職工作。

根據日本資訊系統使用者協會(JUAS)的“2016年公司IT趨勢調查”,只有3.8%的公司除了IT部門外還有事故反應團隊,例如CSIRT。然而,CSIRT的概念開始逐漸受到歡迎,對此最積極的公司就是曾經在網路攻擊中遭受損失的公司。政府也發佈了一系列報告,建議私營公司設立CSIRT,從而推動了CSIRT的發展(圖2)。

當網路攻擊發生時,CSIRT必須介入,並且作出決策:是否停止服務;何時以及如何通知顧客和客戶;何時聯繫主管機構。他們的主要職能是在事故發生時採取措施。他們發現和分析事故,控制損失,採取措施防止事故再次發生。

同時,他們在正常運營期間作好防範攻擊的準備,確保順利作出反應。作為對於事故的初步反應,他們可以監控系統,獲得和分析行動日誌,建立緊急狀態下的指揮系統。初步反應還包括收集攻擊資料,與其它組織交流,類比緊急狀態進行演習。而且,他們領導關鍵的品質控制任務:實施風險分析,制定“業務持續計畫”(BCP),在正常運營期間實施資安教育,提高人們的認識。

SOC將網路攻擊視覺化

與CSIRT一道,資安運營中心(SOC)可以作為強大的資源用於提高針對網路攻擊的反應能力。SOC是專業化機構,每天24小時監控來自內部系統和網路的日誌,解讀網路攻擊跡象,向CSIRT發出警告。SOC將網路攻擊視覺化,是CSIRT的監視哨。

雖然可以在公司內部建立SOC,但是與CSIRT不同,SOC的職能完全可以委託給資安銷售商。如果公司缺乏資安專業人員,則可以使用管理資安服務,將SOC外包。

許多企業,特別是大型製造公司,選擇在內部建立SOC。在過去,只有金融機構和國防公司建立內部SOC,因為他們需要處理極其敏感的資訊,擁有眾多資安人員的ICT公司也會建立內部SOC,但是目前這種情況已經擴展至大型私營公司。

圖2:資訊安全事故發生時的反應組織

有兩種情況促使公司建立自己的SOC。首先,網路攻擊極其頻繁,已被視為管理風險和災難以及違規行為。例如,如果花費數年開發的設備藍圖被盜並且被實施逆向工程,則會造成幾十億日元的損失。其次,通過目前的ICT工具將會降低自行運營SOC的成本。

需要超過240,000名資安人員

我們已經討論了危機管理的核心CSIRT和SOC。然而,為了建立這些組織,必須培訓和聘請熟悉安全領域的人員,這就帶來了最大的挑戰。

在日本,大約有106,000名資安人員可用于保護400多萬家日本企業。日本政府在2015年9月發佈的“網路安全戰略”表明,資安人員“在品質和數量上嚴重缺乏”。公司缺乏81,000名資安人員。在現有的265,000名資安人員中,159,000名(60%)能力不足。

JUAS的“2016年公司IT趨勢調查”按照崗位調查了資安措施的充足性。80%的受訪公司表示,缺乏足夠的資安規劃員和事故反應員(隔離和解決問題)。超過60%表示需要更多管道與管理層溝通(圖3)。

公司和組織的安全人員需要符合三項條件。首先,需要具有專業技能。雖然技能十分重要,但是他們也必須擁有掌控資安事宜的遠大抱負,能夠主動地參加海外活動和內部競賽。

其次,資安人員需要具有現實主義精神。他們必須意識到,無論他們多麼努力地工作,資安事宜都不會達到完美,因此需要重視消除所有脆弱性,考慮如何將脆弱性最小化,從而不會在現場產生問題。

最後,他們需要具有認真負責的態度。資安人員必須對預防事故的標準負責,不惜一切代價維護標準。

在這三個方面培訓資安人員需要時間。在此期間,唯一的解決方案是將工作外包或者聘請成熟的專業人員。如果你不切實際地認為你能立即請到全能的資安人員,或者未能作好建立職業路徑的準備,那麼一切都是徒勞。

自2017年4月起實施新的國家認證制度

為了解決人員短缺的問題,政府於2016年4月啟動“資訊安全管理考試”,面向用戶部門的資安管理員,旨在通過考試學習培養人力資源。

為了提高資安工程師的品質和流動性,政府將於2017年4月啟動一項新的國家認證制度-“資訊安全註冊專家”制度。該認證的目的是對經過認證的個人進行公共註冊,從而使公司和組織更加容易找到具有熟練技能的資安工程師。同時,註冊人員必須定期參加研究班,以保持其技能水準。政府計畫在2020年之前實現30,000名註冊工程師的目標。

圖3:資訊安全措施的充分性,按照崗位和年份

不久以後,公司將無法獨自處理複雜的大規模網路攻擊。我們必須摒棄過時的常識。只有當公司認識到他們的防禦能力有限時,他們才會真正開始回擊網路攻擊。

成為網路攻擊的目標並非一種尷尬或恥辱。關鍵在於事情發生之後如何處理。如果從公司外部的人員和組織尋求説明,並且積極地宣佈受到攻擊的事實,則應當會將損失最小化。

以發現為中心的對策已經到達極限

Taishu Ohta
佈道者
網路安全業務戰略單位
富士通有限公司

在今後幾年內,將網路空間與現實世界緊密相連的網路-物理系統將會更加普及,因此網路空間的事故將會導致現實企業遭受巨大損失。管理層需要認識到“網路攻擊威脅企業的每個方面”。

目前,以“發現惡意軟體”為重點的資安對策已經到達極限。現在,每天幾乎產生100萬種新惡意軟體(包括變種),而基於模式匹配的發現率低於50%。對於惡意軟體的防禦已經落後因為惡意軟體可以悄悄滑過或逃脫。

公司現在需要的是以下對策:假設惡意軟體侵入,能夠識別已經潛入組織網路的惡意軟體,並且將惡意軟體的行為視覺化。然後公司需要監控阻塞點(通信必須經過的點),知悉來自攻擊者的C&C(命令和控制)伺服器的遠端命令,預防惡意軟體運行,即使惡意軟體已經潛入網路。

富士通正在開發的資安技術分為四(4)個方面,T1-T4。T1包括針對進出點的資安對策。我們已經開發了一項新技術,聚焦於攻擊者的行為過程。該技術即時檢測攻擊者的活動,也就是將攻擊行為的過程與模型(攻擊者行為轉換模型)進行對比,該模型基於對於過去潛入組織的攻擊者行為的觀察。

第二個方面T2使用的技術將已經潛入組織系統的惡意軟體隔離。該技術監控網路通信量,即時檢測惡意軟體的活動,自動隔離被感染的設備。該技術能夠有效發現不明惡意軟體的位置,因為它能夠評估鎖定攻擊的常見通信行為。

T3方面提供新的蹤跡收集和影響分析技術。我們已經開發了高速取證技術,能夠自動分析大量網路通信,在短時間內顯示一系列鎖定攻擊的執行過程和狀態的完整情況。這些技術能夠以菊輪鍊的形式表明被感染設備之間的關係。通過視覺化,你能夠提供攻擊鳥瞰圖,從而立即瞭解攻擊的每個方面。

最後一個方面T4包括資訊共用技術。富士通已經建立“網路威脅情報(CTI)應用系統”,能夠高效分享和利用網路威脅情報。該系統將網路攻擊的5W1H(攻擊者,時間,目標,攻擊物件,入侵路線和方法等)以及處理網路攻擊的資訊轉換為電腦能夠處理的形式。

我們相信這些解決方案將會改善公司資安措施(訪談)。

*2017年1月,本內容出現於ITpro Active。