台灣近年來屢遭國際駭客組織攻擊,許多產業都陸續傳出災情,其中勒索病毒逐漸成為主流,駭客以勒索病毒加密用戶的重要資料,並向公司索取高額贖金。在高額利潤的驅使下,WannaCry、DopplePaymer等新型變種的勒索病毒相繼誕生,甚至產生了勒索病毒服務(Ransomware as a Service, RaaS)的商業模式,而惡名昭彰的REvil即是其中一例。台灣的高科技製造業已逐漸成為駭客眼中的肥羊,光是近兩年就傳出數起鉅額勒索病毒案,迫使各企業開始正視自身的資安防護規劃。
傳統的企業資安著重於邊界安全(Perimeter Security)的防禦,透過在企業對外的網路閘道部屬防火牆(Firewall)、入侵偵測/預防系統(IDS/IPS)等資安產品,來預防攻擊或入侵的發生。但隨著網路環境的複雜化、各種虛擬化技術的進步以及遠端工作的需求提升,所謂的邊界愈發模糊甚至難以界定;另一方面,駭客的攻擊型態也不再只是亂槍打鳥,而是極具針對性、組織性的進階持續性滲透攻擊(Advanced Persistent Threats, APT)。透過魚叉式網路釣魚、零日漏洞等方式,APT往往能滲透內網而不被傳統邊界防禦產品偵測,惡意程式甚至能直接載入記憶體中而不用依賴病毒執行檔,並藉由系統內建的白名單程式實現攻擊,導致傳統基於特徵(Signature-based)或基於檔案(file-based)的防毒軟體難以偵測並阻擋。
雖然邊界防禦仍不可或缺,但僅利用傳統邊界防禦來預防攻擊的思維已無法有效保護企業網路環境,有鑒於此,我們需要一個系統性的盤點方法,來整理企業資安現狀,並找出需要補強的環節。近年由Sounil Yu提出並已納入OWASP的資安防護矩陣(Cyber Defense Matrix, CDM)是一個幫助檢視與組織企業整體資安狀況的安全模型(Figure 1),橫軸結合美國國家標準技術研究所(NIST)提出的網路安全框架(Cybersecurity Framework,CSF)中所定義的五大功能類別;縱軸則為企業要保護的重要資產類別。藉由CDM,企業將能夠系統性地盤點現有的資安產品、確認目前資安防護的覆蓋率、並找出可能的資安破口。將傳統常見的邊界防禦及攻擊預防產品帶入CDM,可以發現這些產品主要著重於事前預防(Protect)的部分(Figure 2)。但正如前文所說,邊界防禦產品雖仍必須但勢必無法阻擋所有攻擊,我們應該假設企業內部已經被入侵且潛藏著各種威脅。此時事中偵測(Detection)與回應(Respond)能夠幫助我們在攻擊尚未釀成大禍前及早預警並控制,再搭配事後復原(Recover)的機制,才能夠有效提升企業資安韌性(Cyber Resilience)。
許多大企業並非沒有投資於資安防禦,而是在規劃上出現盲點才導致直到重要資料被加密了才驚覺已被滲透,這凸顯了CDM的重要性,讓企業能夠清楚了解現有資安產品的守備範圍,並協助未來的資安規劃把錢花在刀口上。近年越來越多資安廠商推出偵測(Detect)與回應(Respond)類型的產品,例如網路偵測與回應(Network Detection and Response, NDR)、端點偵測與回應(Endpoint Detection and Response, EDR)、延伸式偵測及回應(Extended Detection and Response, XDR) 等適用於不同情境的產品。如何從中選擇還須視各企業現有的環境與需求來調整,才能讓資安投資達到最高效益。