[新科技速遞] [網絡安全] [網絡攻擊]
網絡攻擊肆虐,機構受到攻擊往往只能採取防禦,不過防守始終難以一成不變。
中信國際電信CPC一直有提供代管的網絡安全服務TrustCSI,透過多種業界先進工具;包括保安資訊和事件管理(SIEM)和端點防禦及反應(EDR)方案等。但是保安形勢不斷轉變,中信國際電信CPC推出了TrustCSI 3.0,加入滲透測試和「紅藍攻防」形式,加入人工智能(AI)自動化,時刻提升網絡安全。
中信國際電信CPC安全服務交付及運維總監黃鈞達說,例如釣魚郵件和惡意網站連結,可以利用防火牆或軟件工具過濾,亦難免會有漏網之魚。
「部分連結加入其他語系魚目混珠,例如俄羅斯語「西里爾」字母,部份字母與英文字母非常相似,即使經驗有素用戶也可能會中招。」
化被動防禦為主動
一般機構很少會進行滲透測試(Penetration Testing),TrustCSI 3.0內加入滲透測試,以及實戰化模擬攻擊防禦,從以往被動防禦,變為主動安全應變策略。
團隊從駭客的類比駭客攻擊視角去檢視攻擊,並從防守獲得實戰經驗,明白防守暴露的弱點,知己知彼。而滲透測試則是對網絡、應用程式或系統,進行非破壞性模擬入侵攻擊,以驗證防禦機制的可靠性和執行能力。
中信國際電信CPC一直在法規遵從有豐富經驗,為本港多家銀行和保險業落實法規遵從的保安要求,不過保安架構不可能停留不動,原因是攻擊手法層出不窮,Gartner強調「配適性保安架構」 (Adaptive Security Architecture ),補充只集中於防禦,以政策為本的保安策略的缺陷,應付不斷演變保安挑戰。
黑客手法難以捉摸
近年,不少研發發現,滲透測試和「紅藍攻防」亦可持續性改善防禦能力。
Fortinet 東南亞與香港資訊安全總監鄺偉基說,市場上最普遍參考美國MITRE推出的ATT&CK架構下,瞭解與分析黑客大部分的攻擊手法。
但是,即使有明確參考框架,黑客攻擊時刻轉變,難免掛一漏萬而被黑客得逞。例如不少人仍以為,釣魚郵件是最常見攻擊,其實上半年Fortinet偵察出大量以(Removable media)抽取式儲存裝置與媒體攻擊,現已佔去入侵攻擊一半。
黑客在USB記憶體驅動器植入惡意軟體,竊取主機敏感資訊,檔案可從一個系統接力傳送另一系統。
鄺偉基說,攻擊手法轉變,原因不一而足,其中可能是疫情後遠程用戶慣用USB和NAS等儲存,又缺乏適當保護;另一個原因來自「營運技術」(OT)系統,以往OT缺乏保護意識,感染抽取式儲存,終於變成了攻擊源頭。
黃鈞達說,中信國際電信CPC亦有提供數據保護方案,防禦抽取式儲存的攻擊,實施時期可能會影響正常業務,員工適應需時,持續性去改善防禦仍有其必要。
早悉先機堵塞漏洞
黃鈞達說,客戶須清晰數碼資產分佈,而以滲透測試軟件,可對數產建立可視性;並跟蹤修補漏洞最新狀態,非所有系統都可升級至最新版本,但至少清楚資產位置和受保護的程度,設計出應變的計畫。
鄺偉基說,例如以往Web應用防火牆保護(WAF)只抵禦網絡攻擊規則,以阻擋IP 位址、HTTP 標頭、HTTP 主體、URI 字串、跨網站命令檔(XSS)、SQL injection及OWASP等傳統漏洞,黑客又採用更先進的手法,例如記憶體篡改和Heap緩衝區溢位攻擊等,例如漏過Message Queuing服務攻擊。
「不少應用開發採用大量開源軟件,有時用戶也不知道自已應用,已利用有關服務。」對基建和應用缺乏可視性,也是何以須要滲透測試,並及早加入相應保護。」
中信國際電訊CPC一直研究數據技術,開發多種AI和訓練模型。該公司信息科技服務與數據科學部助理總監林宇鈴說,AI可實現自動化,並減輕保安分析工作量。
AI定期滲透測試
林宇鈴說,IT保安最大漏洞其實是人,因為人會疏忽和犯錯,為黑客製造可乘之機,團隊之間須有清晰溝通,並保持警惕,除了靠演練提高保安意識,系統設計確保處理手法一致,並要盡力堵塞漏洞,不斷測試更新。
林宇鈴說,自然語言處理技術和AI模型,可補充人手疏忽和不足。中信國際電訊CPC利用AI輔助滲透測試,以應對日新月異的攻擊。
「理論上,滲透測試愈密愈好,現實上一般機構難以有足夠保安分析人員,經常執行滲透測試。AI工具提供應用,為測試產生「惡意負載」(Payload),即時產生進入目標主機,並產生遠端系統作攻擊的惡意代碼。」不少安裝基建和開發應用人員,本身安全意識並不高,每次完工要求保安分析人員檢查,其實不切實際,AI可讀取系統後作預測,按照系統或程式產生惡意負載攻擊代碼,並定時自行作滲透測試。
AI從不同來源發現新攻擊手段後,產生新滲透測試代碼,定期自動執行,確定即使黑客不斷演變,機構預先掌握先機,與時並進,及早採取保護措施。