top of page
作家相片Tara Hsiao / PM

擺脫駭客勒索的陰霾:掌握資安事件偵測與響應的關鍵

面對不斷演化的威脅,如何終止駭客活動

近期 iThome的資安報導「上市櫃公司屢遭網路攻擊,中小企業災情大增」指出,國內的企業發生資安事件的頻率與數量都不斷增加,勒索攻擊是主要威脅,而且沒有產業可以置身事外,尤其駭客鎖定中小企業的攻擊態勢更加明顯,箇中原因包括中小企業在資安威脅抵抗力較為缺乏,以及產業上下游之間的供應鏈關係更是一大因素。因此,企業在面臨現今資安威脅的3個關鍵需要:1.需要應對不斷演化的威脅手法、2.需要提高資安事件的響應速度、3.需要增強安全態勢的可見性,而「偵測與響應 (Detect and Respond)」是最為推崇的新一代資安方法。

事實上,世界上還沒有任何一種100%安全保證的資安產品及方法,因此企業在資安治理的思想上必須從如何建立適當且有效的管理機制,從而確保組織的資安風險最小化來著手。舉例來說,根據IBM X-Force發布的 Threat Intelligence Index 2024 報告,「濫用合法憑證」躍升為最常利用的入侵手法第一位,高於釣魚郵件和漏洞利用,原因在於攻擊者發現利用有效憑證更容易達成入侵攻擊目標系統。換句話,企業很難防護駭客利用這個方式取得初始訪問權(Initial Access),但是這並不代表駭客的攻擊行動成功,企業仍可以透過持續的『偵測與響應』來抑止潛入企業環境中的威脅活動,才能有效擺脫威脅攻擊的陰霾!


「偵測與響應」是最主動有效的資安方法

「偵測與響應」是一種現今最為主動有效的資安方法,我們在NIST CSF資安框架中的5大功能(識別、保護、偵測、響應、復原)之中,也可以看到偵測與響應在企業資安防護策略上的必要性;對於資安事件的處理階段概分成「偵測」與「響應」,涵蓋了資安事件的生命週期,從檢測可疑活動到調查事件並採取適當的回應措施。跟資安事件的紀錄日誌管理(Log Management)不同,「偵測與響應」的目的是為了識別跟確認異常行為,並且萃出可以幫助資安團隊展開適當的應變處理措施行動。

以企業環境中的**端點主機(Endpoint)**是最主要的攻擊目標,根據2024 CIO Insight調查報告顯示高達78.8%的用戶端安全是最被企業擔憂的破口,而企業在方案採購上的第一選擇為端點偵測與響應(佔48.9%),例如WiZON MDR端點保護服務即是此類的方案。以下,我們就這項被資安業界廣為推行的新世代資安方法「偵測與響應」做介紹。


偵測(Detect):幫助釐清問題的關鍵階段

在中醫的診察疾病有所謂「望、聞、問、切」的診察疾病的方法,目的是在識別跟收集問診患者的狀況情報,以利於後續的處理程序,而「偵測」就是相同的概念。

「偵測」的核心概念是指識別和發現安全事件或威脅的過程,通常涉及目標物的資安數據資料的收集和分析,用以尋找異常行為或模式(也可視為調查階段),目的是盡早識別安全事件,以便採取行動減輕其影響。主要採取的作為包括:

  • 即時檢測異常活動:及時檢測到異常活動(例如軟體不當讀取記憶體資料)並了解該威脅可能帶來的影響。

  • 持續監控:持續對資訊環境以及端點設備的營運狀況進行監控,達到即時檢測異常活動的目的,並驗證防護措施的有效性。

  • 完整紀錄:偵測不只是識別威脅,更需要將所有監控的數據進行完整紀錄,以確保當威脅發生時,能及時且有足夠資訊做調查與分析。

基本上,企業在面臨資安事件時能夠越早期、越準確、越豐富的偵測作為,將能夠幫助企業避免許多威脅跟風險發生,包括:

  • 避免已知的威脅:已知的威脅如惡意檔案和網路釣魚URL等,我們需要能偵測到這些已知威脅,以便在不小心下載惡意檔案或點擊惡意網頁時,能立即採取行動,達到阻擋威脅入侵的效果。

  • 識別進行中的威脅:例如用戶權限配置突然更改、非工作間內突然大量存取敏感資料或是系統效能異常等,這些行為可能代表系統正在受到威脅,我們需要能察覺這些異常活動,以便做調查分析,防止進一步的損害。

  • 預防未知的威脅:攻擊不斷演進,駭客持續開發新的勒索軟體與惡意網頁、發動新的零日漏洞甚至是開採新的合法工具進行攻擊,我們需要結合分析新型威脅的特徵和行為模式,預判可能會採取的攻擊行為,將未知轉化為已知,甚至調整資安治理策略,以進行阻擋。

響應(Respond):快速展開問題應對的處理行動

當然,假設企業遭遇資安事件的話,不僅僅只是接收與讀取威脅告警,更需要立即採取回應措施,快速解決狀況並找到根因,才能達到擺脫威脅的目的。而「響應」即是指在發生確認的安全事件時所採取的行動,目標是減輕事件的影響並恢復正常運作。不過企業在面臨資安事件時該如何展開處理行動呢?

基本上,負責的資安團隊可依據資安事件的相關情報進行研判,根據事件的類型和嚴重程度來採取回應措施,包括:

  • 抑制:抑制的目的是阻止事件進一步造成損害,積極的行動包括隔離受影響的系統,或是阻斷有問題的服務。

  • 調查:調查的目的是釐清楚事件的範圍、原因和影響,尤其是利用「合法掩護非法」的攻擊手法越來越多,調查工作在資安事件處理就更加必要。

  • 恢復:恢復的目的是對於事件造成的任何損害與影響進行修復及回復,包括修補漏洞、備份還原、或重建系統等。

  • 善後:善後的目的是從事件中吸取經驗並防止再次發生,例如建立案例學習、更新安全策略或防禦設計、提高員工安全意識等。

「偵測與響應」是持續的備戰準備

綜合以上我們可以知道,早期威脅偵測與有效的響應策略對擺脫資安威脅至關重要,要達到這種效果,需要持續監控,及時發現任何異常行為或潛在威脅。同時,具備資安專業的能力與實務經驗也是不可缺少的,包括對不同類型威脅的了解、熟悉各種威脅偵測工具和技術、以及提供有效的響應措施。威脅和攻擊形式不斷變化,有時候可能會繞過預防措施,因此需要偵系統來即時發現並回應這些威脅,企業最好抱持著「持續的偵測與響應」備戰準備才能真正避免威脅變成災害。

WIZON 資安團隊依循國際資安框架制定出資安事件偵測與響應流程

▲ WIZON 資安團隊依循國際資安框架制定出資安事件偵測與響應流程

Comments


bottom of page