受駭者的困惑:怎麼就是防不住駭客入侵
近期我們拜訪了一家企業,討論明年度的資安預算編列。在討論的過程中,承辦人自豪地表示他們的防護規劃非常完整,各方面都已經配備相應的防護產品。在網路層面擁有次世代防火牆保護,在端點主機方面採用了企業版的電腦防毒軟體,並且還建置了NAS系統來定期對資料進行備份。因此,如果只是編列「強化資安」的預算,則有非常高的機率被上頭退回。當時的拜訪並沒有達成實質結論,不過卻在幾個星期後,我們突然接到承辦的求助電話,因為被駭了!
承辦描述了公司重要系統被勒索軟體感染的困境,而最近期的備份檔案也被加密無法用來復原,可用的備份檔案也因為版本過舊而不符合現況使用,迫於無奈之下只能重新安裝整個系統,並逐步調整設定以回復原本的服務。然而,即使在回復狀態後,資訊部門仍舊處在「再次遭受勒索威脅」的恐懼與擔憂中,而在面對上頭責令檢討的壓力下,承辦不禁感嘆:我們的防護都有了,怎麼就是防不住駭客入侵。
受害後的檢討:安全失效是關鍵問題
對於上述的資安事件,我們協助事後調查入侵的管道與手法,主要來自於對外伺服器上存在已知的漏洞,能夠被非法執行惡意程序,因此該漏洞成為了入侵行動的一個引信。但是,究竟入侵者是怎麼在極短的攻擊時間內,成功入侵並快速有效率的破壞該企業的重要主機,讓受害者沒有任何覺察跟反應的時間?
對於此一思考,我們協助承辦單位重新審視及盤點該企業的防護架構,藉以解析出受駭入侵的根源問題,令人驚訝的結果發現,承辦所自豪的公司資安防護規劃並不如之前所說的那麼完善,正確來說應該是「有安全防護裝備,但卻都是安全失效的狀況」,總結出以下的情況:
防火牆安全失效:網路層面的次世代防火牆正處於採購續約的空窗期,造成資安防禦模組停止2個多月,僅能做為上網閘道與服務管制。
電腦防毒攔阻無效:端點主機所使用的企業版電腦防毒軟體,對於採樣到的惡意程式元兇,並沒有能夠偵測及攔阻。
備份還原失效:作為最後一道防線的NAS備份主機,也在此次入侵中被列為破壞的首要目標,導致備份檔案也被加密而完全無法派上用場。
這樣的情況就像是偵測火警的偵測器失效、行進中的汽車煞車失靈、發生搶案的監控系統故障都是一樣道理,原本存在的安全防護措施在關鍵時刻無法發揮效果,這也就能解釋「我們的防護都有了,怎麼就是防不住駭客入侵」的問題所在!
駭客一直在關注著你,等待最佳的攻擊時機
從上述的檢討中,乍看之下是一連串的失誤所形成骨牌效應,但是實際上,你可能不知道駭客可能更早就已經偷偷地侵入埋伏、悄悄地勘查蒐集企業環境情報、靜靜地關注著各種可以利用攻擊的破口,等待最佳的攻擊時機發動「快、狠、準的精準攻擊」。
一般企業關注的入侵事件,通常侷限在已發生威脅(如勒索破壞、帳號奪取、資料外洩等)的行動。但我們觀察到,攻擊者為了規避企業已部署的資安防禦與安全控制,會花費多數的時間,在相關資訊的收集以及探查,當資訊彙整完成後,再花非常短暫的時間進行入侵破壞的行動,一來精準快速的破壞可以降低防禦措施的反應時間,二來讓受害企業只注意到入侵破壞的結果,以利攻擊者可以用相同方式進行二次入侵。
以前述的案例來說,攻擊者發現伺服器漏洞當下,並不會立刻執行勒索破壞的行動,反而蒐集相關資訊以達成入侵行動的最高效益,例如規避主機防毒、備份作業時程與目標、內部主機是否可對外連線等,當相關資訊與方法萬事具備後,以「精準攻擊」方式快速有效的對目標進行滲透破壞。
假設該企業防火牆的資安模組未過期,雖然有可能可以防止這一次的勒索威脅,但請記住一件事情,當攻擊者決定要發動攻擊時,他絕對比你還要熟悉你的企業環境。為了可以持續有效的入侵,可能還有其他備案尚未端出來使用。如果你不想要讓攻擊者幫你的企業探查漏洞的破口,最好要有方法可以定期檢視內部資訊資產的風險並制定改善計畫。
駭客攻擊策略:安靜潛伏、精準攻擊
現在的駭客攻擊多數採取「安靜潛伏、精準攻擊」的策略來擬定各種對應的技術與手法。舉例來說,各位曾看過諜報電影或是特種部隊出任務影片,這些專業人士不僅悄無聲息的朝目標前進,也同時一直探索環境中有哪些可以利用的漏洞規避、對防哨破壞、並且做好退場準備,一旦時機到了就以迅雷不及掩耳的動作進行精準攻擊。
近幾年來,各種網路犯罪與攻擊行為都有「安靜潛伏、精準攻擊」的模式,在最新的Fortinet《2024全球資安威脅預測》報告中提到:攻擊者攻擊策略將持續「向左靠攏」,意味著在攻擊的前置作業準備更佳細膩,我們可以從MITRE ATT&CK框架來具體觀測到,許多攻擊事件的偵測活動過程中都曾出現許多跡象。只不過,這些潛伏的犯罪跡象並不容易被發現跟判讀,而透過具備有偵測(Detection)與響應(Respond)的EDR或XDR能力的資安系統是現今最佳方法;因此,在面對現今的駭客時不僅要具備有主動性的防護能力外,也必須同時具有EDR或XDR能力來發現潛伏的異常行徑,並且最好有資安專業人員能夠判讀分析,提早破壞駭客發動精準攻擊的活動佈局。我們要檢測防禦的威脅,不僅是阻擋攻擊著的破壞程序,最好將攻擊者扼殺於資訊探查階段,如果沒有足夠有效的情報,攻擊者是不會冒然執行入侵的行動的。
💡 MITRE ATT&CK框架是針對駭客攻擊活動的一種共通語言,有助針對入侵手法的描述、分類和理解威脅行為上有一套共通標準。MITRE ATT&CK將入侵流程定義成14個戰術(Tactic),包括:偵查、資源開發、初步訪問、執行惡意程式碼、持續性控制、權限提升、防禦規避、憑證存取、探查環境、橫向移動、資料收集)及事件發生(命令與控制、洩漏及影響)等,並且描述每個戰術所採取的技術(Technique)及程序(Procedure)。它提供了一個結構化的方法,有助於資安專業人員更好理解跟判讀威脅行為。 暸解更多:資安攻擊活動的共通語言:MITRE Att&CK Framework
如何免於駭客關注的憂慮
在現今的數位網路世代裡,每一個企業跟組織都可能正受到駭客的關注,也造成企業資安憂慮。許多的企業組織在資安規劃上都具有「資安需要防護」的觀念與作為,但卻往往畫錯重點而造成具備防護卻無法發揮效果的情況或擔憂,形成一種「道高一尺、魔高一丈」的假象。
其實,駭客只是更願意觀察目標環境的資安問題,並且等待目標犯錯失誤的時機,因為這些存在的資安問題對於駭客而言都是可作為利用發揮的空間;加上駭客進行犯罪行為不用受到程序規範約束而更具有效率。我們再次以上述的客戶案例來思考,防火牆的安全模組失效是因為續約採購的作業所致,即使承辦人員知道這將會導致企業網路安全洞口大開的威脅性,也只能祈求採購作業順利跟不要出事;相對地,當駭客在潛伏過程關注到這個情況發生之時,或許正是駭客發動攻擊所欠缺的「東風」。
類似的情況歸根究底在於企業的資安防護規劃發生「失衡」的情況,而NIST CSF資安框架所定義的五大項目:識別、保護、偵測、響應、復原,是一套避免企業防護失衡的最佳方法指南。當我們利用NIST CSF的五大項目來檢視前述的案例後,該位承辦終於理解到問題「我們的防護都有了,怎麼就是防不住駭客入侵」的根本原因。事實上,企業採取的防護系統方案都是在駭客可以預料想見的範疇內,駭客也非常清楚現代的資安防護系統是有用的,不過只要安靜潛伏跟情蒐,終究能夠找到、等到、或是製造出資安防護的空擋破口。而如果企業的資安防護方法能夠採取「識別、保護、偵測、響應、復原」五大項目,則相對地壓縮駭客侵入潛伏時可以施展的空間,並且也能避免駭客發動精準攻擊的準備機會。
符合NIST CSF的資安防護
藉由NIST CSF資安框架來進行檢視與思考後,客戶單位的承辦人員及上頭主管不僅能產生更清楚明確的企業資安防護策略與做法,也明白到「即使擁有工具、也知道了方法,但仍舊需要具專業經驗的人來執行」,因此也選擇懷生數位所推出的WiZON CSR+安全復原方案,優先針對佔比最大的Windows Server系統進行第一波的資安防護重建計畫。WiZON CSR+方案具備「安全保護與備份復原」雙效合一的設計,並且符合NIST CSF資安框架的五大項目,因此能透過識別系統資產、安裝軟體已檢視是否有已知的系統漏洞並提供自動修補功能,並針對已知的病毒、惡意程式、勒索攻擊提供主動防護功能,以及持續偵測關聯異常行為的執行結構,找到問題根因避免問題持續發生,最後也提供了可靠的雲端備援空間,同時滿足異質備份以及異地備援的備份原則。以上功能皆由懷生專業團隊提供服務,省去了學習工具的門檻,並以定期服務月報呈現服務趨勢,提供安全快速有效的專業服務方案。
Comments