資訊安全專題報導

台灣科摩多 為資訊安全把關

從憑證、雲服務到防堵 APT沙盒

魏鈺慈 2020-05-06

【文‧魏鈺慈】

科摩多最早在英國的公司,自一九九八年從歐洲開始推廣憑證服務至今,在全球擁有完整的銷售服務團隊,推升科摩多在憑證市場占有率連年上升,科摩多除了憑證服務外,更有著強大的資安研究團隊,持續研發資安管理解決方案,持續推展科摩多全方位的資訊安全解決方案。

台灣科摩多胡志豪表示,現今商業架構大多依賴雲端服務.從資料儲存和文件分享,至遠端存取與通訊,雲端已經成為現代 IT 導向的企業流程最重要的核心關鍵。其遭受的攻擊也是最多。科摩多針對端點、主機及網站提供全方位的雲端資訊安全管理服務,有效解決客戶資安問題;有別於傳統資安思維,反而從管理著手。

被忽視的資訊安全
讓臺灣成為駭客溫床

 
每年都有許多資安事件,舉例來說,二○一九年八月底,臺灣醫療產業遭到勒索軟體攻擊,根據衛生福利部統計,約有二十二家醫院受害,雖然在復原工作電腦主機後,沒有影響醫療業務的運作,但也凸顯現今資安防護機制的不足之處。臺灣對資訊安全的思維只針對在閘道設置防禦設備,卻忽略主機或終端個人電腦的安全問題。從過去的資安事件中分析,發現所有的攻擊大都發生在主機或終端個人電腦上,而大部分主機與終端電腦的資安防護措施,卻因為預算問題和臺灣長期對於資訊安全領域的忽視,使臺灣成為全世界駭客跳板的首選。
 

臺灣長期忽視資安問題,導致臺灣成為駭客跳板。(攝影/孫玉璞)

駭客持續攻擊我國政府單位網路,意圖癱瘓臺灣關鍵基礎設施的運作。以疾管局為例,面對疫情應變需要一整套完整的通報機制,連貫醫院、機場、縣市政府和衛生所等相關單位,一發現疑似案例馬上通報相關單位,使臺灣防疫全球囑目,國際媒體紛紛借鏡。但如果沒有好的資訊安全服務,再好的通報流程,失去彼此間的通報能力,立即會造成疫情失控的危機。

無法感知的APT 更可怕


APT 攻擊就像是長期埋伏在暗處的軍隊,從鎖定目標,部署埋伏到發動攻擊,其主要目的在於偷竊機密資料,至於資料敏不敏感、重不重要,已非資料持有人說了算,一切全憑竊賊決定。更可怕之處在於,APT 攻擊者只要在企業搶下一處,都能藉由持續性的擴散與感染,取得最高存取權限,一步步朝向關鍵資科的所在地前進。傳統的資安機制只能阻檔「已知」的惡意攻擊,即使安裝知名的防毒軟體也無法阻止APT 攻擊。

以二○一六年第一銀行ATM 資安事件為例,駭客透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。這類「持續性滲透攻擊(APT)」透過長時間埋伏取得使用者權限,短時間內竊取機密資料。

VPN 安全加密 卻是資安破口

胡志豪談及,在居家辦公議題中,公家機關習慣使用VPN 虛擬私人網路(Virtual Private Network)作為遠距辦公的工具,但以資安角度而言容易造成許多資安漏洞。

VPN 能確保安全連線,並在連線中進行加密,阻擋側聽等疑慮。但VPN 只能確保連線之間的安全,如果員工在家使用的個人電腦是不具完善的資安保護, APT 攻擊就能輕易透過自家電腦侵入單位VPN server伺服器,直接跳過防火牆防線,成為資安破口。


科摩多臺灣代理商胡志豪認為VPN 僅能確保連線安全,一旦使用的電腦中有ATP 種子就成為資安破口。(攝影/孫玉璞)
 
雲端 沙箱 虛擬環境執行
確保資訊安全


雖然現在各家資安廠商都提供已知惡意程式資料庫進行攔截比對,但對於未知的程式與新形態攻擊手法,是無法被攔截。科摩多於二○一五年在全球找到的惡意程式有超過八千五百萬筆,但資安防禦型產品的攔截率只有二十五%,代表其餘的七十五%是被漏掉的,有再大的資料庫也趕不上新型態惡意程式出現。

科摩多提出Endpoint Manager企業安全管理系統,基於「DefaultDeny」架構設計,其運作法是如大家所熟知的門禁管理架構進行安全管理。同樣仰賴特徵碼比對,但卻是屬於逆向方式,也就是執行的應用程式必須經過白名單列為允許,否則一律交由隔離的自動沙箱環境啟動。例如LINE 程式一旦經過更新,Hash 值隨即變更,對系統而言成為未知型程式,即必須在自動沙箱中運行。相較於市場上熟知的資安設計,則皆為「Default Allow」,意思是特徵碼比對若沒發現異常,即列入信任並放行。「長期以來大都以此方向發展防護機制,才使得近年來常發現以合法掩護的惡意程式成功滲入,遭受APT 攻擊。」由於在Default Deny 架構下,會出現白名單數量不夠多,導致使用者的應用程式無法執行,勢必會引起反彈。

因此必須搭配自動化沙箱,讓未被列入白名單的檔案或應用程式可藉此正常執行。使用者仍可自行安裝軟體,且不需要請MIS(ManagementInformation System)將該軟體列入白名單即可先行開啟,才不致影響使用者操作行為。之所以直接將防禦機制建立在端點,而非搭配伺服器系統、閘道端、雲端服務共同運行,主要考量是多數的針對性攻擊都是使用者行為導致。而資安機制之所以搭配雲端服務平臺分析,其中一項因素是為了減緩偵測運行時可能帶來運算資源過度耗用,而Comodo EM 全新的安全管理架構,採用「Zero Trust」零信任的管理方式,讓每個系統擁有各自的程式清單資料,而非傳統病毒碼資料庫掃描的方式,讓系統運行最佳化,更不會影響系統效能,克服現有端點防毒廠商效能不彰的問題。
 

科摩多是英國公司,從歐洲開啟販售憑證服務,到現今成為全球最大網路憑證公司。(圖/科摩多提供)
 
可想像現在臺灣在做防疫的機制,對於從國外進入臺灣的人進行檢驗並實行居家隔離,確保其安全性。居家隔離就如沙箱效果,觀察是否有潛伏在體中的病毒。反觀如果個人或企業設備只有在主幹網路設置資訊安全的防禦產品,只要越過這道檢驗攔截,即可自由的破壞與竊取資料。