APT攻擊成新常態 情報專才助抵禦黑客

MANDIANT
Mandiant北亞區總經理徐海國(左)及港澳區總經理徐伊芬表示: Mandiant服務並非不取代現有保安產品,而往往是協助客戶微調或優化產品的部署,以發揮更佳的保安性能。

企業轉型

疫情下網絡攻擊活動頻繁,香港也不能倖免。企業投資在各種網絡保安設備和服務,企業採購保安設備太多,五花八門,不過是否奏效,就不得而知

近期全球勒索軟件肆虐,加上零日攻擊創下歷史新高,本港發現APT的次數愈來愈頻密,網絡保安人員更疲於奔命。

攻擊手段日新月異,任何的網絡保安設備或方案都不是完美,須與時並進不少專家指出網絡安全要靠專才(People)、流程(Process)、技術(Technology)三大關鍵結合技術最容易採購只是預算問題,流程則須經常檢討以免掛一漏萬,專才則最難求,缺口愈來愈大,不少機構轉而外聘或購買托管式的保安服務(MSS)

除了靠專業人才經驗,抵禦攻擊亦要可靠的威脅情報(Threat Intelligence),才能先發制人,零日攻擊愈來愈多,愈早知悉則可防患於未然,故此網絡保安情報的價值愈來愈高。

威脅情報先發制人

過去數年,Mandiant公佈了不少威脅的情報,甚至預告了網絡攻擊。Mandiant北亞區總經理徐海國說,新保安形勢之下,應付威脅手段最重要就是情報和專才,還有中立的專業意見。

Mandiant出售了FireEye品牌在內的產品業務給私募基金Symphony為主財團後,公司名稱亦恢復為Mandiant,專注在保安控制中立(Controls-agnostic)的網絡保安服務。

徐海國說,Mandiant專注以保安服務為本,不傾向任何廠商產品,沒有潛在的利益衝突。

事實上,Mandiant一直在事故應變(Incident Response)和鑑識調查(Forensic)享負盛名,近期不少重大網絡保安事故,包括了Colonial Pipeline和T-mobile入侵事件,都是由Mandiant負責處理,

現有投資用得其所

徐海國說,近期本港勒索軟件持續爆發,發現多種惡意軟件多家機構也聘請Mandiant提供事故應變服務進行事後調查並改善保安。Mandiant的服務包括「快速反響」(Rapid Response);從控制受攻擊面(Containment)、清除惡意軟件和攻擊(Eradication),並馬上填補漏洞(Remediation)以免日後同樣攻擊再發生。

Mandiant具備獨有科技,專注優化保安科技,不少機構即使投資網絡保安,例如防火牆、電郵過濾、偵察漏洞等,並不知道能否真正應付的攻擊,Mandiant確保現有保安投資,用得其所,最弱一環在那裡,團隊更有信心保護網絡。網絡保安須經常練習,防備不同的攻擊以驗證配置是否具備防禦效力,配置是否正確,發揮預期的效用。

檢證現有保安平台

「Mandiant服務並非不取代現有保安產品,而往往是協助客戶微調或優化產品的部署,以發揮更佳的保安性能。」

例如進階持續攻擊(APT)可能是神不知鬼不覺,潛伏網絡長時間。Mandiant推出的全天候的Managed defense,已經部署在本港多家機構。而Gartner則稱之為Managed Detection & Response。徐海國說客戶已使用此項服務,而且滿意度極高

徐海國說,Managed defense並不同於市面上的托管式保安服務(MSS),而Managed defense則是細緻緊密監控所有終端,一旦受感染馬上隔離,以確保病毒不會擴散。

Mandiant港澳區總經理徐伊芬,類似Advantage平台,就是基於Mandiant的情報系統,建立不同的方案,除了檢驗保安弱點,也具備XDR能力作自動應變,取代第一級保安分析,並減少誤報。

據Mandiant的研究近期的網絡攻擊除了更多多重的網絡勒索,不同方式多次勒索金錢;另一項趨勢是針對營運技術平台(Operational Technology)愈來愈多,因為OT的平台很少更新,弱點更多。Colonial Pipeline就是明顯的例子。

近年機構依賴雲平台及雲端寄存服務供應商持續業務營運,採用第三方平台確保其穩定性及安全。Mandiant認為依賴雲平台及雲端寄存服務供應商之機構將更易受到網絡攻擊,而物聯網攻擊更將於未來幾年持續增長。

Leave a Reply

Your email address will not be published. Required fields are marked *