現代黑客攻擊手段繁多,有調查指近過去十年平均每年發現的惡意軟件數量已由雙位數字激增至數以萬計。McAfee 香港及澳門區總經理關約恒指出,面對日益複雜的網絡環境和攻擊方式,只需一個針對性攻擊就有可能令一間大企業崩潰,McAfee 的 EDR 方案就能協助企業自動偵測並回應威脅入侵。
預視人才短缺問題 自動化資安管理成最佳對策
據 McAfee Labs 統計,2005 年時僅 25 款惡意軟件或病毒,但到 2016 年,該數字已激增到 50 萬,而且種類、攻擊方式更是變得層出不窮,可見資安情況之嚴峻。
McAfee 香港及澳門區總經理關約恒表示,自從流動裝置和雲端服務的出現,網絡環境變得越來越複雜且變化急速,這是全球性,不論大中小企均面對相同的問題。在面對複雜的網絡環境或攻擊,更需要快速作出反應措施以覆蓋保護其網絡架構,然而普遍企業均缺乏足夠的人才和資源,這正是問題所在。
「由 2005 到 2016 年,短短十一年間我們可以看到網絡威脅正不斷增加,到今年數量無疑會更多,然而數字其實已非關鍵,現時的問題在於僅僅一個針對性的 APT 攻擊 (Advanced Persistent Threat),已足夠令一間大型企業 Collapse(崩潰)。」關約恒說道。
關約恒續稱,資安人才短缺的問題同樣困擾著企業。他援引調查數據指,62% 機構正面對人手短缺,人才流失等問題,而重新招聘、訓練平均需要 三至六個月時間,預計到 2020 年具備專業資格認證的空缺將增至 200 萬,無疑令企業很難有充裕人手和時間解決問題。
他表示,McAfee 多年前已預視到該問題,因此在策略上一直朝著整合平台的方向發展,希望將各種資訊安全方案方案連接在一起,讓企業在管理網絡架構時更具可視性,從而快速找到問題所在,並借助安全方案自動化處理,舒緩人手及資源不足所帶來的壓力。
McAfee:傳統特徵碼檢測防禦仍具價值
談及已過去大半年的 2017 年資安情況, McAfee 香港及台灣區域顧問經理曾振輝表示,回顧過去一年,無疑上半年是以勒索軟件攻擊為主,而下半年雖然勒索軟件的風勢稍弱,Script-Based 攻擊和虛假 HTTPS 等惡意活動,整體而言今年的惡意攻擊比較集中在終端裝置,並以快速獲取金錢為目的,因此可以見到發動攻擊的時間變得更快,除此以外,利用安全漏洞亦是常見的攻擊方式之一。
較早前的勒索軟件 Petya 就被指是利用 SMBv1 模組的漏洞發動攻擊,影響雖未及 WannaCry 廣泛,但攻擊的途徑更令企業防不勝防。其實已有報告指出現時有多達八成機構的系統存在威脅級別為高或嚴重的漏洞,而且大部分漏洞早於過去五年已公佈,但不少企業因各種原因未有及時安裝安全更新,使黑客仍可利用多年來的常見弱點和漏洞進行攻擊。
曾振輝認為, 企業在 IT 預算減少的情況下,未必有足夠的資安意識去發現潛在風險,同時亦缺乏對整個網絡架構的能見度,因此在終端的防護上仍是必要的。他指,McAfee 的終端防護方案 (Endpoint Security, ENS),除了利用傳統的特徵碼庫內,還加入了多重防禦,其中重點的機械學習行為分析模式,透過將未知程式預先執行,分析並記錄其系統活動,一旦發現可疑行為就立刻終止活動,能有效阻止新型惡意程式的入侵。
曾振輝表示,很多時入侵攻擊均是由員工執行未知程式而引起,因此 ENS 方案有一個類似沙盒的機制去分析所有軟件的行為是否可疑。問及分析所有軟件會否影響終端的效能,他解釋,ENS 內有一個評分系統,聲譽好及有認證的軟件通常不會作分析,反而是針對一些知名度低的陌生程式,這時機制就會分析和記錄,一旦發現可疑行為就會鑑定其為惡意軟件,並通知所有終端。
▲ McAfee 的網絡架構部署,透過 TIE Server 和 Data Exchange Layer 的配合,讓部署有不同方案或硬件的終端裝置或伺服器能透過 Exchange Layer 匯報可疑程式,並交由雲端 TIE Server 鑑定分析,得出結果後即時同步通知所有終端,有效抵禦新型攻擊。
EDR 方案自動化偵測回應 抵禦新型攻擊、事故全程記錄
除了事前防禦外,不少企業可能會忽視事後的分析和檢討完善,或許部分中小型企業未有這類認識。但對於不少大型企業來說,需向監管機構匯報和有嚴格的合規規定,事後的檢討評估就是必然的選擇。
曾振輝以台灣某知名銀行近日遭黑客入侵,轉賬盜取巨款的事故為例,指不少企業尤其是金融、銀行機構除了要確保系統有足夠的保障外,一旦出現問題亦必須向當地監管機構提交報告,詳細報告事件發生經過以及改善措施。因此這些企業必須對每一次安全事故的細節,例如入侵來源,潛伏過程、爆發時間等有足夠的認知,才能針對中間各個環節作檢討以便日後改善。
而 McAfee 的偵測與回應 (Endpoint Detection and Response, EDR) 方案正正就是少數能提供安全事件記錄追蹤的方案,除了能透過統一的 Dashboard 介面了解每個程式的評分和威脅程度、每個終端的情況外,還會記錄下每個可疑活動的整個過程,一旦發生安全事故企業便能透過視覺化的安全記錄抽絲剝繭、追溯源頭。
▲ EDR 方案的統一管理介面,清楚看到整個網路架構的情況,方便管理員隨時調查可以軟件活動並作出反應
夥戰略夥伴完善資訊共享生態
關約恒最後補充,面對複雜的網絡環境,即使 McAfee 有再多的資源也沒可能面面俱到覆蓋所有方案,因此如何協助企業利用其現有資源將效益最大化,就成為了該公司資安策略的下一步。
他表示,正如現時以 Data Exchange Layer 連結所有方案,並將不尋常的行為匯報給 TIE Server 作分析鑑定,回饋給所有 McAfee 的方案。他期望未來可以和不同安全廠商合作,共同分享現有的安全資訊,令整個 Threat Intelligence Exchange 平台更為完善,並自動化解決安全威脅。才能幫助企業解決資源、人才短缺的問題。
關約恒又指,樂見其他安全廠商亦朝著這個方向發展,現時已與不少行業領導者和其他安全廠商達成合作,交換資訊,未來會分三步進行,期望能有越來越多戰略創新夥伴 (SIA) 加入,使平台完善之餘,亦能令支援到企業無需浪費過往的投資,更有效地運用資源。
讀者如想了解關於 McAfee EDR 方案的資訊詳情,或有資訊網絡系統相關的疑問希望向 McAfee 的安全專家查詢,可到以下連結留下聯絡資料:http://www.dcom.hk/survey/