網絡攻擊轉型 防禦與時並進

Diana Kelley是Microsoft網絡安全外展技術總監,專門面對客戶進行各項網絡保安的討論,曾在IBM的保安團隊工作多年,為資深網絡保安專家。

數碼轉型

數碼化帶來大量的商機,同時令網絡犯罪和攻擊肆虐。建立網絡信任(Trust)成為了最大的課題之一。

近年Microsoft投入大量研發資源,並有愈來愈多安全相關組織,經費每年超過10億美元,多項產品登上了研究機構的領導位置。

Microsoft全球聘用超過3500名全職網絡安全專家,可能是全球最大的安全團隊,以AI工具分析,包括先進Graph Security,分析連接數據點之間的關係,從而推測攻擊的可能性,Microsoft每日從全球蒐集達8兆訊號,尋找網絡攻擊各種線索。

如果說,Microsoft是全球最大的安全情報網絡,相信絕不為過。

Microsoft投資在人工智能,分析全球從雲端和流動設備的威脅,並且成立數碼罪案小組(DCU),在全球30多個國與執法調查單位合作。迄今DCU成功瓦解了18個殭屍網絡。

Microsoft也在亞太區投資5個網絡安全中心,分別位於中國、印度、韓國、日本及新加坡。不過,部分攻擊屬於國家級,更難於防範。

Microsoft網絡安全Field CTO外展技術總監Diana Kelley表示,過去一年,不少企業開始注重數據保護,加密的勒索軟件大幅下降,不過仍有大量網絡攻擊,針對盗用身份,網絡保安紛紛動用人工智能(AI)作保護偵察,其網絡攻擊的黑客,亦已大規模利用AI去作武器,惡意程式更難於發現。

Kelley說,不少專家相信,黑客已開始部署AI惡意程式,攻擊更難於偵察。反制這些AI驅動的惡意程式,必須有較更大運算力,從雲端蒐集更大量情報,保安專家也利用AI和機器學習,基於更多風險評估因素去偵察不尋常的活動。

身份管理最後防線

另一個攻擊趨勢,則是通過供應鏈發展攻擊;例如透過企業的系統供應商,更新系統軟件,又或者在硬件內,偷偷加上惡意程式和後門。

企業數碼設備愈來愈多,製造業供應鏈複雜。估計2022年前,約半數企業產生的數據,都會在數據中心或雲服務以外環境作處理,加上有不少過期軟件,可能有大量漏洞、缺乏保護設備,愈來愈多,不少沿用原廠設定登入資訊,更容易遭受入侵。

「企業必須整合方案,才能抵禦從供應鏈發動攻擊,其中一個方法,就是加強身份和登入的管理;包括保護用戶登入身份,並以基於用戶風險水平,來控制資源存取,例如按時間和地點賦予不同權限,通過某個角色的不同位置,調整存取權利。」

Microsoft結合Azure身份管理( Identity Management),可以在任何地判斷某個身份登入的風險水平,另外,亦可通過多重因素驗證,以不同方法確定用戶的身份。

不少企業邁向混合雲,公有雲亦成為企業須防守保安邊界,未來網絡安全最大的挑戰。企業的保安邊界,隨著數據分散不同地點,加上配置了混合雲,數據資源的位置變得模糊;不可能在所有保安邊界上,配置防火牆作為防禦。

故此,傳統保安設備己不能完全保障用戶,不同雲端保護方案,亦應運而生。

Microsoft就開發了以Azure雲服務為基礎的SIEM方案Sentinel,可迅速從雲端接收大量訊息,又投資在Cloud Access Security Broker (CASB)產品Microsoft Cloud App Security,實時檢視雲算運算上流經的所有內容。

不少企業開始認為,投資在傳統防火牆等設備,並不足以提供保護,必須配合雲端的情報,任何保安方案須與雲服務結合,從Microsoft的產品發展,可見雲端保安產品,未來會愈見流行。

零信任大勢所趨

傳統防禦以保安邊界(Perimeter),界定保護範圍。隨著邊界的概念衰落,業界興起了零信任(Zero Trust),亦所有網絡連接,皆假定為不安全,必須進行驗證。即使是身份用戶,也不能單靠密碼。

零信任已經成為保安業界共識,實踐之餘,如何不影響用戶體驗,又是另一挑戰。

Kelley表示,國家資助的網絡攻擊出現,也成為網絡保安最迫切的議題。Microsoft威脅情報中心(Threat Intelligence Center)已確認全球有110個涉及惡意程式的活動組織。上述組織也不斷干擾選舉活動,甚至體育活動,今年10月,Microsoft發現名為Strontium組織,2020年東京奧運會的前夕,針對全球的16個運動組織和禁藥藥檢組織發動攻擊。

Kelly則表示,關鍵在企業是否能主動認識攻擊形勢的變化,數碼化技術不斷演進,不能墨守成規,須與時並進。

Leave a Reply

Your email address will not be published. Required fields are marked *