2012年10月18日 星期四

委外監控 為APT攻擊與個資法解套

虛擬化環境、雲端運算與Big Data 成未來發展方向
委外監控 為APT攻擊與個資法解套

近年來盛行的社交工程攻擊與個資法的實施,使得企業對資安方面的需求更多元,如今的SOC監控服務業者,也已準備好因應服務。

中華電信數據通信分公司資訊處產品經理簡志全說明,像是APT的攻擊手法主要是以電子郵件為主,根本防不勝防,只能從員工平時的使用習慣著手,因此服務項目甚至也包括了資安警覺測試。

目前在該公司提供的資安監控委外中,即有為專案客戶提供關於電子郵件警覺性測試,例如以現在最熱門的話題為主旨設計一封郵件,裡面會含有吸引人點選的圖片,並加上連結,發送給組織全體員工。同時在系統中開始統計,觀察誰有開啟,以及誰點選了圖片,只單純在蒐集統計用,而非真正去入侵。透過最後產出的統計報表,即可顯示企業內部員工對於資訊安全的警覺性,是否有必要再教育。


▲數聯資安SOC監控中心戰情室。

警覺性訓練對抗社交工程 

而宏電子化巨架構服務事業單位產品企劃部產品經理蘇怡琪也表示,eDC會發展電子郵件警覺性測試服務,主要是企業用戶想了解是否有可能遭受此類攻擊,因此設計上有點類似滲透測試,模擬社交工程手法,寄了一封夾帶惡意程式的電子郵件給所有員工,若執行開啟的比例過高,則恐怕要針對這類型的攻擊事件加強教育宣導,或是加強防禦機制等措施,來降低資安風險。此測試執行後,更可依據各個企業環境的不同,採用不同組合的資安服務。

針對這類低調且緩慢的針對性攻擊,除了監測以外,還得要有能力應變處理。數聯資安資安監控部經理游承儒提及,在整個安全監控服務中還包含緊急救援─ERS(Emergency Responder Services)可協助木馬的移除跟監測。他以先前曾發現過一宗典型的APT攻擊事件說明,該SOC客戶為公務單位,在監控過程中發現一些Port 443的連線,按理說應該為加密狀態,卻是以明碼傳輸,因而引起資安監控人員注意。當時對客戶發出告警通知後,隨即派工程師到場進一步追查,發現利用Port 443連線做明碼傳輸的電腦裡皆有一個相同的檔案,即使上傳到技術服務中心做檢測,也沒有相關的樣本,於是才將檔案交由病毒廠商製作為特徵碼檢測樣本,掃描後發現幾乎整個單位電腦都有,才被確認為是一個標準APT的攻擊事件。

中華電信數據通信分公司資訊處科長謝東明觀察駭客的發展,已趨向集團化、手法更加精巧,使得現有的防禦工程未必能及時掌控,因此才需要仰賴專業資安人員來進一步監控,才能從中看出端倪。

面對個資法 保存軌跡資料 

SOC服務業者普遍將提供的另一個項目,即為因應個資法下的日誌管理需求。謝東明觀察,面對個資法,雖然目前多數企業都抱持觀望態度,但其實也有可能駭客早已掌握了個資資料,正在等到法規實施後才準備進行威脅或轉售等動作。而個資法規範的重點,在於是否有真正做到保護的責任,不僅可運用DLP(Data Loss Prevention)來做防護,讓存取行為皆產生日誌留存,同時稽核日誌系統也不可或缺,不僅可協助落實保護政策,更可在事後進行稽核,並在發生訴訟案件時舉證。

對此,中華電信SOC監控中心下一步將推行日誌稽核管理服務,讓客戶端的日誌檔先行加密,再傳送到監控中心存放,即使客戶端遭受駭客入侵,並且巧妙的刪除攻擊行為記錄,在監控中心仍保有一份完整的資料。謝東明表示,透過公正第三方利用加密機制來保存軌跡資料,亦可確保其不可否認性。

游承儒強調,雖然日前草案經修法後,軌跡資料已非強制規定,但實際上,稽核與舉證都必須仰賴這些軌跡資料,已是必要的措施。而SOC服務可因應個資法的主要部分即為軌跡資料,但要成為證據,就必須具備有公信力的驗證,甚至要具備不可否認性,通常SIEM平台在保存原始資料時還要兼具不可否認性並不容易,因此數聯資安才著手準備推出日誌管理(Log Management)機制。

其部署的方式會由客戶端建置一套日誌管理系統放在企業內部,統一收集後再傳輸至數聯資安的SIEM平台,主要考量是因為有些應用程式或資料庫存取所產生的日誌,一方面較常含有敏感性資料,另一方面SIEM並不包含監控這類型的格式資料,如此一來不僅可以先進行過濾,亦可達到原始資料保存的目的。

下一步:虛擬層監控 

除了駭客與法規問題外,宏電子化巨架構服務事業單位產品企劃部資深經理郭孟鈞也觀察到現行SIEM平台普遍欠缺的部分,即為Big Data的處理機制,但由於Big Data的需求是近年來才逐漸受到重視,因此他認為SIEM平台勢必會朝此方向發展,只是可能還需要二至三年時間。畢竟SIEM平台的分析是以傳統資料庫為基礎,Big Data特性之一就是龐大資料量的處理,以傳統關聯式資料庫環境來執行確實會遇到瓶頸,所以像是SIEM提供的各式報表,Acer eDC技術人員皆要具備自主研發能力。

此外,Cloud Security也是目前Acer eDC正在發展的方向之一。郭孟鈞表示,「市場上對於Cloud Security並沒有一個標準的說法,但我認為Cloud Security是一種雲端的商業模式,就是把服務架構在雲端提供給客戶,所以說資安代管服務也是其中一環,因為運作模式是在雲端而非在企業端內部,同樣屬於商業模式的改變。」

但Acer eDC所思考的Cloud Security,是在雲端的環境裡,從IT的改變到攻擊手法有何不同,郭孟鈞強調,這才是真正的雲端安全,而非只是商業模式的一種。他進一步提到,還有另一個部份是屬於虛擬化技術平台的部署,改變了以往資訊安全的型態。由以往單機管控的部署模式,在虛擬環境中轉變為Hypervisor集中化部署,因此在雲端環境中如何做監控,同樣是服務商必須關切的方向。

以往的監控標的,都是在實體環境中的設備,如今進入到雲端運算時代,核心以虛擬化技術為基礎,目前卻少見有針對Hypervisor層做監控。隨著越來越多駭客攻擊手法的創新,如今的Hypervisor層也成為駭客極力入侵的管道之一,以前是從閘道器端一步一步地進入,未來反而可能直接由系統層核心切入,即使目前安全市場上尚未有一個較有效的做法,但監控其活動內容絕對是必要的,因此這部分即為Acer eDC欲強化的重點項目。

作者:洪羿漣
轉載自《網管人》

沒有留言:

張貼留言