8 / 11 - 12

南港展覽二館

Resilience Matters

韌性決勝

資安新知 Cyber Insight

看 2020 年及往後的 Cyber Security & Insider Threat 演變

    分享這篇文章:

精品科技股份有限公司 總經理 黃文昌

立法院 2019 年底最後一刻,三讀通過科技業企盼已久的《營業秘密法》部分條文修正案。新增「偵保令」制度,也被稱為「科技業條款」,針對近年來科技業的洩密情事,許多員工跳槽前,蒐集大量公司機敏資料並投靠競爭對手廠商。修法後的「秘密保持命令」讓檢察官得以在案件偵查過程中,即可對原告與被告發出偵保令;違反「秘密保持令罪」,課以三年以下有期徒刑、拘役或併科新台幣 100 萬元以下罰金的刑責,以杜絕偵辦過程二度洩密。

在內部拿資料,遠比鎖在門外的駭客來的容易
傳統的駭客入侵,需要一層一層由外向內「敲門」穿透,在安全防護體系保護下,需要耗費時間與專業能力,且不一定能成功。反之,換成由內向外穿透,那就容易多了,因為內部已是熟悉作業環境的 Insider,據其專業能力,利用系統漏洞、網路連線技術、各種工具或自行撰寫程式,就可扮演 Insider + Hacker 角色;舉例來說,瀏覽器搭建 DoH 建立私密網路連線,不易被監控,且可輕易對外傳輸資料。在可預見的未來,隨著技術的精進,可將資料帶走的方式,將只會更多,不會更少。

輕忽資料保護的重要性,隨時可能造成資料外洩
駭客竊取的技術指引、各類相關新技術與服務,在網際網路隨處可得,再經由廣域社交網路催化,進一步讓駭客攻擊與內部威脅的界線正在模糊。將「安全」拉到每日運作的個人,他/她可以是一位企業的員工、一位政府的僱員,或是國安軍士官兵,透過易得的內部技術資料,搭配駭客竊取手法,或假裝被釣魚,轉而洩漏給競爭對手或敵對一方,達成遂行自己私人利益,並非不可能;或是輕忽社交工程的設局與大意開啟惡意程式,造成內部資料的加密破壞或竊取外洩,在資安事件新聞上,幾乎周周上演。由此可見,防堵外部駭客入侵竊取的 Cyber Security 與防堵內部竊取的 Insider Threat 是同等重要的。

然而,外部的駭客威脅相較之下,要能發現重要資料在哪裡的機會較為有限;而內部員工與合作夥伴造成大部分比例的資料外洩,而這些外洩事件,通常會造成企業大量的金錢損失,甚或致命的傷害。依據 Cybersecurity Insiders 研究發現,內部威脅中 51% 是有意的,47% 是無心的,約 2% 是動機不明。內部人員在處理公司資料方面有機會出錯,忘記安全規則,忽略組織政策,而意外造成受保護的資料被曝露外洩。這些操作可以是偶然的,也可以是有意的。兩者都會導致資料外洩,但惡意的內部活動通常會產生更大損失,更嚴重的負面影響。

透過 EDR 偵測端點電腦行為,有效阻斷可疑行為
進一步看,內部威脅活動的行為軌跡有可能出現在使用者應用網路或使用電腦和應用軟體的相關記錄上,像是隨身碟使用情況、檔案存取記錄、網頁瀏覽、關鍵字查詢、IM、列印等,這些相關記錄可自 X-FORT 電子資料控管系統取得。行為記錄的分析需要更多元的數據類型與來源,來加以偵測出威脅,並進一步建構出有效的端點偵測與反應 (Endpoint Detection and Respond – EDR) 機制,其中的反應 (Respond),可以包含立即發出警訊、斷開對外網路連結、啟動緊急資安政策等。例如員工連結網站的國家、流量、通訊協定有異常時,就有可能是被入侵或不正常內部人員活動,系統提出適當的判斷處置,以避免災害擴散。又或者外接式儲存媒體 (如隨身碟),檔案寫出數量或容量超過,可彈性的透過主管審核開放、啟動寫出檔案實體備份 (Shadow)、顯示螢幕浮水印等,來掌控風險。

結語
面對日益嚴峻的資安威脅趨勢,對許多資安產品造成巨大的衝擊,解決方案的趨勢朝向嘗試從累積的各項行為記錄,進行大數據分析,加上 AI 技術學習判斷以及 EDR 機制來達成快速風險分析與反饋行動,來重新清晰劃出那條已經模糊界線。資安廠商除了針對駭客與內部威脅各類手法與技術,不斷精進防守的有效性;面對未來未知的各類新興威脅滲透技術發展,我們需要發展不依賴分析已知特徵的解決方案,才能面對幾乎沒有緩衝時間間隔的未知威脅。

更多精彩的 Cyber Insight