企業資安人員普遍太樂觀,思科「資安報告」揭露現實

作者 | 發布日期 2015 年 04 月 27 日 12:05 | 分類 資訊安全 follow us in feedly
下載自路透

2014 年,每隔幾週就有毀滅性的資訊安全問題被揭露。但資安不是一天兩天的事,也不僅只是媒體報導被駭單位的事,從「NORSE」網路攻擊實況網站上,就能一目瞭然地看到隨著光纖網路橫越整個地球的駭客攻擊活動,其速度之快加以眾多數量,讓人措手不及;然而意外的是,根據網路設備及技術供應商思科(Cisco)所做的「2015 年度安全報告」指出,產業界裡 75% 的首席資訊安全官都相信公司所使用的安全工具非常或極為有效。但如果有效,資安問題怎麼還會層出不窮?




略數 2014 毀滅性資安事件:

  • 2014 年,Sony 影業被駭,110 TB 的資料被駭客偷走,包括還未上映的電影,以及詳盡的員工個資,公司電腦硬碟裡的資料更遭撤底抹除。
  • 摩根大通被駭,近 7,600 萬個家庭及 700 萬家小型企業等客戶的資料外洩,摩根大通在駭客攻擊行動開始後兩個月才察覺受駭。
  • 南韓核電廠網路被駭,電廠平面圖等敏感資訊外洩,駭客以此威脅南韓關閉核電廠反應爐。
  • 美國白宮網路遭駭,但白宮強調駭客入侵的是「總統辦公室的非機密網路」,沒有機密資料丟失。
  • 卡巴斯基實驗室揭露名為「暗黑飯店」(Darkhotel)的 APT 攻擊,駭客藉由入侵飯店 WiFi 再入侵房客的電腦,鎖定對象為製造、投資、國防、汽車等企業高階主管,範圍包含台灣、中國、日本、南韓等亞太地區國家,此攻擊行動至少從 2007 年開始。

從國際影視、金融巨擘,到國家公共事業,甚至政府,再到公共區域的WiFi,無一倖免,那上述 75% 相信公司所使用的資安工具「非常或極為有效」的資訊安全官,似乎太過有自信。

 

連 OpenSSL 都沒更新,卻還認為資安工具已是最新版本且安全無虞

至於真實情況是什麼樣子,身為「防禦者」的資安工作者,以及身為「使用者」的每一位企業員工,都可以從「思科 2015 年度安全報告」開始看起。

思科訪查不同國家、不同規模企業中擔任資訊安全職務的員工共 1,738 人,就公司投入到網路安全的資源,安全營運、策略和規程,以及網路安全營運的完善度三方面受訪。91% 的受訪組織表示由高階主管直接負責安全事務,高達90% 的公司對自己的安全策略、流程和程序很有信心。

不過在接下來的報告中寫到,只有 64% 的受訪者稱,自己的安全基礎設施非常先進,還利用現有最好的技術不斷升級;另有 33% 是定期更換或升級安全技術;最慘的是 3% 在原有安全技術無法使用、已過時或有全新需求時,才會更換或升級安全技術。

0427-cisco security cut4

▲只有 64% 的受訪者聲稱,自己的安全基礎設施不斷升級、非常先進。(Source: 思科 2015 年度安全報告

 

還不只如此,去年 4 月開放原始碼套件 OpenSSL 爆出 HeartBleed 漏洞,能讓駭客入侵伺服器記憶體竊取敏感資料,預估影響全球 2/3 網站;但思科安全部門利用掃描引擎檢查使用 OpenSSL 套件的設備,發現 56% 的設備使用 50 個月之前的 OpenSSL 版本,意味這些網站管理員根本沒有將安全設施更新至最新、修補過的安全版本,讓網站暴露在被攻擊的風險中,與 97% 稱「資安設施非常新、定期更新」的狀況並不符合。

 

檢測不是 100% 有效,透過 AMP 追殺漏網之魚

0424-cisco pic2

(Source:flickr/ hombredenegro CC by 2.0)

除了資安工具更新速度慢是個問題,資安工具是否能抵禦現在的網路攻擊形態,並在受攻擊時及時解決問題,也是企業應學習的課題。思科認為大多數企業在資安防護的盲點為:將全部努力都放在檢測與攔截上。

檢測與攔截隨著攻擊方式翻新,進階持續性滲透攻擊(APT)蔓延,以及員工使用自己的裝置工作,已變得更加薄弱。在行動裝置功能愈趨強大之時,攜帶自己的裝置(BYOD,Bring Your Own Device)如手機、平板、筆電進公司已成為常態,但員工在工作之餘的上網瀏覽習慣以及上網環境,很可能一不小心就中了駭客佈下的釣魚陷阱、垃圾郵件、水坑式攻擊,當被感染的裝置連上內網,就會為企業帶來資安危機。

思科提出,面對無孔不入的攻擊,資安工作者必須認知「網路一定會遭入侵」的事實。也因此企業應該要採用進階惡意軟體防護(Advanced Malware Protection, AMP)的解決方案,依「防禦三階段」在攻擊的前、中、後,都能針對攻擊活動進行檢測、確認、分析、跟蹤,以及適時的修復。

  • 攻擊前:檢測漏洞、強化管理。靠傳統防火牆和端點保護措施,阻擋一年數十億的垃圾郵件。
  • 攻擊中:即時分析、有效跟蹤。其中分析功能,就是將已避開檢測、進入企業內部的惡意軟體,透過其在網路的活動行為、檔案用途,以及根據龐大的惡意軟體樣本資料,再次判定出其為惡意軟體;而跟蹤功能,就是當惡意軟體進入終端設備並擴散後,能夠讓資安工作者追蹤惡意軟體移動的軌跡與行為,追溯每個曾與其接觸的設備。
  • 攻擊後:損害控管、資源回復。在上述兩個功能發揮作用之後,最後無論惡意軟體是在何時最終定性,都能一一清除受影響設備的惡意軟體。

 

思科2015年度安全報告,資安思維教戰手冊

思科在 2013 年併購資安公司 Sourcefire 後,就加入 Sourcefire 開發的 AMP 功能,不但能作為新一代 IPS 或新一代的防火牆,還能為個人電腦、行動裝置和虛擬環境提供端點防護。

隨著網路活動愈加頻繁,網路上的資產也愈加豐富,因此駭客不斷翻新手法,虎視眈眈地盯著每家企業握有的資料庫。思科 2015 年度安全報告中分為四大部分,分別介紹 1.詳細的攻擊手法研究 2.企業資安現況訪查,同時提供思科建議的企業資安防護基準 3.地緣政治和各行業的資安趨勢 4.使用者和企業高層看待網路安全的視角建議。

  • 如需要完整「思科 2015 年度安全報告」,可至思科官方網站下載:http://goo.gl/gDIfgR
  • 另有「思科進階惡意程式防護白皮書」,可至思科官方網站下載:http://goo.gl/eKgXaZ

(首圖來源:達志影像) 

發表迴響