近期資安公司Sygnia揭露,一家大型企業組織遭受了APT組織Velvet Ant的滲透長達三年,受害單位在發現攻擊後,進行了補救措施,包括封鎖已知的惡意 IP 和加強防禦。然而在實施補救措施後,受害單位發現駭客仍能控制系統,甚至將攻擊目標移轉至已終止支援並且未部署端點監控方案的Windows Server 2003伺服器。經進一步的調查,問題的根源是一台暴露在外網,並且已棄用的舊款F5 BIG-IP設備。
駭客利用已棄用的F5 BIG-IP與C2中繼站建立SSH通道,以接收命令已便控制內部伺服器。而今年四月,資安研究機構MITRE遭遇了Ivanti零時差漏洞攻擊。該攻擊利用了一月份揭露的Ivanti Connect Secure 兩個零日漏洞CVE-2023-46805及CVE-2024-21887,入侵MITRE實驗與研究網路環境,並進行橫向移動。
像這樣利用已棄用設備或是脆弱版本作為攻擊管道的案件並非特例,2017 年WannaCry全球肆虐,當時有高達七成受感染的設備為遲遲未能更新並修補漏洞的Windows 7。Microsift 曾統計,未受管理的設備比受管理的設備,其感染惡意軟體的可能性增加了71%。缺乏管理以及老舊的操作系統和設備,通常無法獲得最新的安全補丁,進而成為攻擊者利用漏洞的主要目標。
因此,『識別』公司數位資產對資安防護並做好版本管理相當重要。在保護企業安全之前,首要任務是了解自己的資產和風險,並確保所有設備和軟體版本都保持最新,這樣才能有效減少遭受攻擊的風險。
『識別』是資安防護的基石
資安防護是營運永續的一環,其目標之一是了解和管理資安風險,確保所有軟硬體資產、資料、應用程式和網路設備的安全。因此『識別』的不僅是資產和威脅的識別,更是是為了了解企業的潛在資安風險,為防護、監控以及安全復原做準備,以制定針對性的安全策略。這也是為什麼在NIST CSF網路安全框架中,將『識別』列為資安防護策略的第一步。『識別』的目的不僅只是瞭解和管理資安風險外,還包含:
識別關鍵資產
識別關鍵資產的目的在於確保組織能夠保護其敏感資訊(如個資)以及系統(軟硬體設備)免受潛在的威脅和攻擊。像是整合整合了公司各項運營流程的ERP為例,ERP涉及供應鏈、庫存與訂單,確保訂單的及時處理和交付,甚至處理個資,是管理企業日常商務的重要平台,因此ERP系統即為公司的關鍵資產之一。一旦關鍵系統遭受攻擊或中斷,會直接影響訂單的處理和交付,進而損害客戶信任和公司聲譽。
確保合規性
許多法規和標準要求組織識別並保護其關鍵數位資產,通過識別和分類數位資產,企業可以確保其安全措施符合相關法規和標準,避免因違規而遭受罰款或其他法律責任。例如歐盟的GDPR以及台灣的數位經濟相關產業個人資料檔案安全維護管理辦法,即要求組織保護個資安全,因此識別哪些數位資產儲存或處理個資是不可或缺的步驟。藉由識別,企業能清晰地了解其數位資產和相關的合規要求,進而制定符合這些要求的安全策略和措施,確保其運營活動合規性與安全性。
優化資源分配
優化資源分配可以提高資源利用效率,通過制定優先順序,確保關鍵和脆弱資產得到充分保護,減少安全事件對業務運營的影響。中小企業特別需要考慮資源分配。舉例來說,導入MDR方案時,在預算不足的情況下,可以採用階段性部署策略。首先優先保護裝有重要應用服務的伺服器,接著是具有管理員權限的員工設備或高階主管的終端,因為這些設備一旦被攻擊,損害更大。最後再保護一般行政人員的設備。
最小化營運中斷風險
一旦發生資安災難,能迅速定位受影響的資產與風險評估,使企業能夠在復原時設定優先處理的項目,最大限度地減少損失。此外,識別過程中暴露的潛在風險和漏洞,能在復原後進行加強和改進,降低未來災難發生的概率,同時提高企業整體防護能量以及應對災難的能力。
『識別』的忽略是資安防護的隱患
隨著技術的進步和實務需求的增長,企業的各種軟硬體設備與數量不斷增加。網路環境複雜性的增加也加大管理人員的管理難度。為了應對這些挑戰,企業至少需要在資產管理、版本與生命週期管理以及敏感性資料採取有效措施。識別的基本措施如下:
資產管理:基本資產管理包括清楚掌握企業內所有硬體(如伺服器、電腦、儲存設備)和軟體(如工具軟體、作業系統),詳細盤點其版本、授權資訊、序號、需求原因、使用者與使用情況(如使用中或閒置)。詳細的紀錄讓管理人員能更有效地管控設備以及風險評估,確保資安政策套用到所有設備,避免未知設備造成資安破口。閒置設備若未妥善管理,可能被未經授權的用戶接觸,洩露敏感資訊或造成內部威脅。本文開頭的案例即為閒置設備遭利用所致。
版本與生命週期管理:版本管理涉及識別、評估、修補及持續監控系統和應用程式中的安全漏洞。根據Fortinet『2023下半年全球資安威脅報告』,新漏洞發現後平均不到5天即被利用攻擊,因此快速修補漏洞能有效降低風險。此外,組織應建立適當的汰換與報廢機制,確保設備上的數據已被銷毀,避免遭竊取利用。2009年,美國就曾發生一起因硬碟數據未銷毀而導致數百萬退伍軍人個資洩露的事件。
儘管『識別』在資訊安全中扮演著至關重要的角色,但在實際的資安任務中,這一步驟卻往往難以持之以恆地執行,甚至常常被忽略。其原因如下:
用戶信心不足:用戶最大的考量不外乎是『最新的版本就是最大的風險』。對於新版本的穩定度沒信心,加上企業內部通常運行著多種軟體和硬體,這些系統之間的版本相容性問題使得版本管理變得更加複雜,一旦其中一個系統或是應用服務版本更新,可能會影響原本的相容性,使得整個系統的運行受到影響。
資源不足:識別』涉及多個步驟,包括資產盤點、風險評估、漏洞識別、補丁管理、持續監控等,這過程通常會需要跨部門協作,溝通與整理耗時。然而許多企業,特別是中小型企業,員工通常會需要兼顧多項任務,使得他們缺乏足夠的資源來進行全面的識別工作,也缺乏足夠的時間專注於版本管理和漏洞修補。而一些大企業,則容易出現對舊系統和軟體的使用情況和依賴關係不清楚的情況,增加了管理的複雜性。並且大量的軟體工具和頻繁的修補對企業來說也是一個巨大的負擔,增加了資源和管理上的壓力。
錯誤的認知:『識別』是為了預防問題,降低隱性資安風險,並在災難發生時能高效且快速地設定優先處理項目,確保營運永續。然而企業往往認為只有那些能立即見效的防護措施(例如防毒軟體)才是有效益,而忽視了識別和版本管理等預防性措施的重要性。這種錯誤的認知導致識別工作常被忽視,增加了企業面臨潛在風險的可能性。實際上,識別是制定有效資安策略的基礎。
WiZON CSR+ 助力企業資安識別
『識別』就好比身體健康檢查,透過健康檢查及早發現身體潛在的健康問題,制定健康維護策略。『識別』是企業維持穩定運營的重要一環,藉由有效識別軟硬體資產、敏感資產、風險服務和漏洞,使企業全面了解其資安現狀,並制定針對性的保護措施與復原策略,確保業務連續性和運營安全。
WIZON CSR+整合識別、防護、偵測、響應以及安全復原五大機制,其All-in-one方案不僅協助企業做好資產管理、漏洞識別與版本管控,更在災難復原時快速恢復關鍵服務。此外,WIZON提供彈性部署方案,讓企業能優先針對核心業務進行防護,以最小資源做到最大防護。更整合專家支援,一站式資安服務方案,幫助企業建構端點安全防護與復原機制。
Comments