[網絡安全] [Barracuda]
網絡攻擊和詐騙手段愈來愈高明,加上社交工程和生成式AI,收件者更易上當。身份盗竊嚴重,導致損失愈來愈嚴重。及早偵察入侵和作出反制,是減少損失的最好方法。
企業數碼工具愈多,攻擊面愈大,利用更多工具防禦。電郵是最常受攻擊系統,近期「商業電郵入侵」(Business email compromise,BEC)構成多宗破壞。
BEC又稱為「Man-in-the-Email」詐騙,是指以郵件冒充成高階主管或商業夥伴,從看似合法來源寄送釣魚郵件,甚至傳送途中將郵件改頭換面,收件者更易受騙。以BEC攻擊詐騙對象匯出款項,如今騙取身份憑證和敏感數據,或者植入勒索軟件。
不少員工在家工作,利用雲端Office 365,多個設備同時登入,黑客以多種手段逃避偵察,更難以發現。Barracuda提供企業級電郵安全方案,Barracuda首席科技總監Fleming Shi是資深的IT安全專家,擁有二十多項IT保安專利,目前專注在利用雲端微服務整合保安和數據保護。
Shi表示,基木上Barracuda開發Email Security Gateway防護機制已利用AI和全球情報,防止惡意程式、垃圾郵件、網絡釣魚和DDoS攻擊等。
橫向釣魚防不勝防
BEC是最常用攻擊之一,必須要早期攔截,以免造成更大損害。以往,黑客向目標撰寫針對性郵件,要花較長時間,生成式AI提升撰寫速度和規模,利用社交工程,閱讀書信往來,加入真實細節,有時幾可亂真。
入侵後黑客可設定收件匣規則,自動轉寄行騙,又如偵察某些字眼INVOICE或者IBAN出現,利用規則馬上從收件匣刪除,再將收款人資料偷天換日轉寄出去,或者利用「橫向網絡釣魚」(Lateral Phishing),模擬內部發出電郵令人更難防備。
Shi指,黑客獲得了Exchange身份驗證的資訊後,透過為賬戶加入轉發規則,可四處尋找其他獵物。Barracuda有多種應付BEC和「橫向網絡釣魚」(Lateral phishing)工具,從內容判斷出內容,是否曾寄出不同用戶,推測內容屬於偽造,亦可利用Microsoft的Graph API,快速從電郵找出異常行為,以深度學習找違反常規的電郵轉發。
愈早發現黑客蹤跡,可減低對破壞損失。問題是要發現人侵,還要靠多個來源的保安數據。目前保安產品五花八門,分析不同來源保安訊息作交叉關聯,就要先「標凖化」(Normalization)龐大的保安數據,具統一格式才能分析。
開放數據應運而生
業內缺乏統一數據格式,要靠「安全營運中心」(SOC)標凖化不同來源的數據,往往已花去大部資源。去年,AWS、Splunk和Symantec共同發起Open Cybersecurity Schema Framework(OCSF)開放架構,Barracuda隨即加入,並成為最重要數據提供者之一。
OCSF以共通數據標凖化格式,減少了跨產品、服務和開源工具標準化安全性記錄檔和事件數據的共用障礙。OCSF最大優點是分析系統加快數據導入,整合不同分析方案,以即時對照內部是否有受攻擊的訊號。
Shi指,OCSF已獲多家廠商支持,用戶亦將不同保安數據,送至AWS的Security Lake,雲端自動轉化成OCSF格式,獲得更多訊息發現入侵。
「Microsoft 365的數據亦可利用AWS的AppFabric轉化成OCSF,企業內部保安可視性大為增加。」
互通標凖化數據
Barracuda支持以OCSF格式發佈電郵的保安訊息,客戶可其他保安和系統訊息交叉關聯。
「OCSF成為保安廠商共通語言,解決了廠商互通性和免除了標凖化數據麻煩。」Shi指:「此外,通過印證威脅情報,更快獲得系統入侵訊號。」
例如MITRE機構界定三項IT保安的重要標凖,以快速交流威脅情報。首先,MITRE制定發佈威脅情報的結構化格式STIX,系統溝通機制TAXII,以及ATT&CK的攻擊模式分類框架,記錄攻擊流程描述入侵手法,廠商亦利用STIX格式分享威脅情報。
Shi舉例,ATT&CK黑客入侵路線手法和流程。框架內約有300種攻擊流程,類似BEC轉寄規則攻擊ATT&CK已列人攻擊框架內,可以透過OCSF對應攻擊的手法。
OCSF對照威脅情報
香港HKIRC的CybersecHub接收不同來源威脅情報,防火牆或SIEM可通過API自動接收廠商的STIX或JSON格式的威脅情報,對照數據就馬上知道是否與「入侵指標」(Indicator of Compromise)描述相符,確定是否已「中招」。
OCSF內容是有關系統、網絡和雲端網絡安全數據,STIX則描述了威脅情報、攻擊活動和發動攻擊者等資訊,兩者是相輔相承,對照後偵察到攻擊。
「任何發現新的威脅情報,都可通過OCSF格式互相對照,馬上發現入侵訊號,更快作出反應。」
助XDR快速反應
Security Lake變化日誌成符合OCSF格式,可以快速整合日誌,交叉關聯,查詢大量數據。
IT保安防禦的最佳原則,就是實時偵察並反應,從不同來源數據再連接監控應用,作交叉關聯並偵查入侵動靜,因此而出現了端點防禦工具EDR,從端點連線主機的可疑活動,偵察威脅攻擊。
後來,EDR再擴展成「延伸偵測及回應」(Extended Detection and Response),加入更多防護層(電子郵件、端點、伺服器、雲端、網絡)蒐集數據,從而更全面偵測威脅。
長遠而言,雲端Security Lake更易整合XDR服務, 提高防禦可視性,加快反應速度。自建的SOC成本不菲,OCSF簡化數據標凖化和整合過程,變成了類似SOC as a service的概念。相信日後不少XDR,只要在AWS的XDR Marketplace就將XDR能力整合至OCSF,入侵更無所遁形。