| 資安新聞 |
只要人性的弱點沒有消失,資安威脅事件都會不斷上演
刊登日期:2021-06-24
資料來源:優易資訊
| 以特徵碼比對為核心的被動式防禦,已逐漸令人力不從心 近年來政府或企業組織積極推動導入EDR(端點偵測與回應)資安方案,主要幫助組織單位加強資安防禦能量,透過大量分析記憶體處理程序、檔案變化、網路異常連線行為,接著搭配IOC/IOA情資或特徵碼進行過濾比對,再仰賴資安專業人員的能力與豐富的經驗,設定規則、條件,來阻止可疑的資安事件發生,然而EDR所採取的特徵碼比對技術,仍然屬於見招拆招的被動式防禦策略,若以APT攻擊中常見的無檔案式攻擊手法為例,EDR無法立即發現攻擊事件已然發生,多屬於事後鑑識分析、溯源回推,來描摹攻擊事件的過程,然而滲透破壞早已發生完畢,最怕的是已造成企業組織無形的損失與將付出龐大的勒索贖金,因此缺乏有效偵測與即時告警能力、且需大量仰賴專業人力的分析與監控,是目前資安維運人員的長期痛點。 惡魔使出最厲害的詭計,就是要讓全世界相信它並不存在 電影《刺激驚爆點》中出現的一句台詞:「惡魔使出最厲害的詭計,就是要讓全世界相信它並不存在」,隨著網路生態環境的動態發展,悄然無息的無檔案式攻擊(Fileless Attack)事件日益趨升,加上目標式勒索病毒的猖獗,精明的駭客可以輕鬆利用人性的弱點,透過社交工程手法使受害者上當,成功植入受害者電腦建立基地後,利用windows系統內所提供之服務,如PowerShell、PsExec 、WMI等方式入侵記憶體之中獲取權限,還可以進一步利用mimikatz這類的滲透測試工具,擷取使用者記憶體內的登入憑證,來進行橫向移動;以上都是常見的APT攻擊手法,而且都在記憶體內執行,因此不會有惡意檔案存在電腦裡面,只依賴特徵碼比對分析的傳統被動式防禦策略,將讓防守方落入只要一個威脅破口的產生,就會發生無力接戰應對的受駭窘境。 若不改採主動迎擊的策略,只會疲於追逐駭客腳步的後塵 Attivo動態幻影系統採取主動式防禦的戰術策略—Deception欺敵技術,涵蓋了MITRE Shield矩陣內90%以上的技術,可以複製豐富多元的仿生機制,完整融入使用者環境,除了擁有好的工具之外,如何運用策略防駭才是關鍵,歷史上在《孫子兵法‧謀攻篇》裡,提到「上兵伐謀」,就是運用謀略戰勝敵人,而戰場就在我們自己家,因此只要善用計謀、欺敵布陣,當敵人滲透進來開始進行探測、提權或橫向移動,動態幻影系統讓攻擊方不會攻擊到企業的真實資產,而是導向到幻影環境,我們不僅能立即察覺敵人在何處、使用的攻擊手法及背後的意圖,還能即時誘捕獵殺,這對我們來說就是最大的價值。動態幻影系統還可透過與其他資安設備的整合,綜觀全局建立自動聯防,形成一套「資安自我免疫循環」,幫助我們扭轉情勢,輕鬆的「向敵人學習、用智慧迎戰」。 |
