探索混合雲管理的資安挑戰、元素以及降低資安風險的祕訣。
企業之所以加速邁向雲端,絕大多數都是因為遠距上班的需求大量湧現,以及客戶需求的改變迫使企業在營運上必須更加靈活。根據 Forrester 指出,94% 的美國企業基礎架構決策者都至少採用了一種雲端部署環境。
儘管推動企業邁向雲端原生的力量一直都存在,然而現實的情況是,大部分企業還是會將他們最重要的資產或關鍵系統架設在私有雲或企業內部,然後利用公有雲來執行業務及提供客戶服務。
這種混合雲架構需要一套現代化全方位資安方法來確保關鍵資料以及應用程式開發流程的安全,而且不能拖慢營運流程與交付速度。本文檢視當前混合雲管理的一些重要趨勢、資安迷思,以及提升網路資安成熟度的一些祕訣。
繼續閱讀趨勢科技在一份全球調查中發現 50% 的資安團隊表示他們因零散不連貫的單一面向產品與 SIEM 系統所產生的大量警示通知而疲於奔命。看看 XDR 如何減少誤判並改善威脅偵測及回應。
警示通知過多所造成的壓力,是許多資安團隊的一項挑戰。根據趨勢科技一項針對 IT 資安與資安營運中心 (SOC) 決策者的全球調查指出,超過 50% 的受訪者表示他們的團隊因大量的警示通知而疲於奔命。另有 55% 坦承自己沒有十足的把握能判斷警示通知的優先次序並採取回應。
問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警示通知蒐集在一起。這會產生兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM 很會蒐集資料,但卻不會交叉關聯分析。不完整的可視性與情境資訊的缺乏,很容易因誤判而造成雜訊,進而拖慢調查工作的進度。此時,延伸式偵測及回應 (XDR) 就能派上用。
何謂 XDR?
XDR 是端點偵測及回應 (EDR) 的進一步延伸,它能超越單一面向,從各個不同的防護層即時蒐集並交叉關聯資料,例如:電子郵件、伺服器、雲端工作負載、網路,以及端點。如此可減少大量誤判,加快威脅偵測及回應的速度。
如何挑選一家 XDR 廠商
市面上有許多廠商都在兜售自己的 XDR 解決方案,但並非每家的解決方案都一樣。資安長 (CISO) 和資安領導人必須明智地挑選一家優良的 XDR 廠商才能充分享受 XDR 的效益。
不同的 XDR 作法
目前最常見的 XDR 作法有三種:
三者當中最好的混合式方法,因為封閉式方法會侷限在端點上,而開放式 XDR 則會引來第三方合作夥伴與雲端組態設定錯誤的風險。此外,不是您自己擁有的資料,對您來說也不容易理解。您雖然可以利用偵測資料來加以強化,但您幾乎不可能在您自己的平台內擷取並理解另一家公司的所有活動資料。反觀混合式作法則提供了一套技術基礎,並透過量身打造的架構為企業提供更強大的威脅偵測及回應。
超越端點層次
問題的關鍵就在於延伸至端點之外,在電子郵件、伺服器、雲端工作負載及網路層上部署感測器。超越端點層次的好處是能獲得以下兩項關鍵問題的情境資訊:威脅的源頭在哪?我的基礎架構還有哪些地方被威脅入侵?
並非所有的威脅都來自於端點。根據 Verizon 的「2022 年資料外洩調查報告」(Data Breach Investigations Report),網站應用程式與電子郵件是資料外洩發生的前兩大途徑。XDR 能讓您偵測已遭駭客入侵並在內部散發網路釣魚郵件的帳號,反觀電子郵件內建的資安工具,通常只能監控來自外部的惡意郵件。此外,XDR 還能即時掃描信箱內部是否存在一些入侵指標 (IoC)。有了這些資訊,SOC 就能調查還有誰收到同一封信,並將信件隔離或刪除。
除此之外,網路層上的 XDR 可彌補 EDR 的盲點。有了關於網路流量與行為的即時活動資料,再加上邊界與內部橫向連線,就能協助分析師發掘威脅的通訊方式以及它們如何在網路內部擴散。有了這些知識,資安人員就能封鎖主機和網址,並且停用 Active Directory 帳號來抑制攻擊擴散。
雲端工作負載、伺服器以及容器對於企業的營運至關重要,因此這些層面的資安洞見對於降低資安風險非常必要。XDR 能蒐集並交叉關聯活動資料,例如:使用者帳號活動、電腦處理成序、已執行的指令、網路連線、已建立/已存取的檔案、系統登錄修改等等,如此就能掌握警示通知發生時的完整情境。資安團隊可深入追查雲端工作負載內部發生了什麼,以及當初攻擊是如何擴散。
其他 XDR 考量因素
儘管感測器的涵蓋範圍相當重要,但在挑選 XDR 廠商時還有許多其他的因素需要考量,以確保您能獲得最佳的威脅偵測及回應能力。您可詢問廠商以下幾個問題:
1.貴公司產品是否友善支援 API 整合?有些廠商無法完全支援 API,如此一來,整合上就會有困難。XDR 的整合能力越強,就越能蒐集和交叉關聯更多資料,這有助於進一步減少誤判。此外,提供 XDR 解決方案的廠商若能與一套網路資安平台整合,就能讓資安人員從單一窗口管理整個受攻擊面。
2.貴公司產品是否提供視覺化端對端攻擊檢視?有些 XDR 解決方案或許只提供了攻擊在某個時間點的狀況。但若要遏止攻擊擴散、提升資安狀況,資安團隊要能查看攻擊的源頭以及擴散情形。
3.使用者體驗如何?尋找 (並留住) 好人才一直是一項挑戰。請避免挑選那些學習曲線太過陡峭或技術支援不佳的資安解決方案。廠商如果希望您能夠成功 (而非只想賣您產品) 那就會將教學內容、線上學習中心、甚至面對面溝通與意見回饋功能內建在產品中。
4.警示通知是否可用來採取行動?正如前面提到,SIEM 可產生大量的警示通知,但它們通常毫無用處。XDR 一樣能擷取 SIEM 所收到的記錄檔,但卻不會產生一堆誤判,因為記錄檔只是用來提供參考。好的 XDR 解決方案會根據風險評分與衝擊的嚴重性來判斷警示通知的優先次序。
5.定價結構如何?有些廠商是根據套裝或訂閱數量來收費。比方說如果您訂閱的數量是 1,000 名員工,萬一您後來裁撤了 10% 的員工,您還是得支付 1,000 名員工的訂閱費用。如果採用其他授權方式,例如點數模式,您就可以視業務需求變化而將點數挪到其他防護層使用。
6.貴公司是否提供託管式服務?人員及預算是否充足,會影響偵測及回應能力的建置。託管式服務能藉由專家威脅追蹤、7 天 24 小時監控與偵測,以及快速的調查與防範來彌補現有團隊的不足。
7.貴公司是否榮獲任何產業分析機構好評?每家廠商都喜歡宣稱自己是第一,所以,記得查看一下知名產業分析報告 (如 Forrester、Gartner 和 IDC) 來驗證廠商的話。
讓董事會認同 XDR
儘管統計數字顯示網路資安支出不斷增加,但這不保證您的預算就會跟著成長,網路資安想要獲得預算不是一件容易的事,所以很關鍵的一點就是要從財務與風險的角度來闡述 XDR 的效益。以下是您可考慮的一些論點:
1.投資資安解決方案 = 投資業務。根據 IBM 的「2022 年資料外洩成本」(Cost of a Data Breach) 報告指出,採用 XDR 的企業,其資料外洩成本平均低 10% 左右,而且整起資料外洩事件時間也可縮短 29 天。更短的停機時間與更小的財務衝擊,這就是 CXX 管理階層最愛聽的。
2.符合法規遵循要求。XDR 能協助企業達成法規遵循要求,讓企業避免鉅額罰款。而且,當您符合法規要求,您的資安狀況自然也就更好。
3.降低資安險保費。採用優良的 XDR 廠商,您就能向保險公司證明您如何超越 EDR 層次來偵測及回應威脅,進而降低風險。
下一步
如需有關 XDR 以及資安風險管理的更多資訊,請參閱以下文章:
工業 4.0 促使了智慧工廠的誕生,大幅改善了機械加工流程,但卻也為網路犯罪集團開啟了一扇大門讓駭客有機會掌控連網的加工設備,如:CNC 工具機(computer numerical control )。為此,我們特別研究了 CNC 工具機的潛在資安威脅,以及製造業者該如何防範相關的風險。
第四次工業革命,也就是一般常說的「工業 4.0」,已經改變了工廠的作業方式。它宣告了一種採用創新技術將企業製造流程各層面最佳化的時代來臨,其中也包括電腦數值控制 (CNC) 工具機這類加工設備。CNC 工具機在生產線上扮演著非常重要的角色,因為它們可透過不同旋轉軸上的刀具快速而精準地切削出形狀複雜的零件。CNC 工具機可根據控制器參數化程式來移動刀具,這些參數可依據生產規格而輕易修改,所以只要一台工具機就能透過不同的程式來生產各種不同的產品。
在工業 4.0 環境下,各種製造設備 (如 CNC 工具機) 現在都具備連網與智慧連線功能,製造業也因此縮短了停機和重新設定的時間。但創新是一把兩面刃:隨著連網工廠日益成為一種常態,連網設備也意外成為網路駭客用來癱瘓營運、竊取珍貴資料或暗中監視智慧工廠的攻擊目標。所以,製造業很重要的一點就是要知道工業設備互連可能帶來哪些危險。
在這份趨勢科技與 Celada 合作的研究當中,我們研究了一系列 CNC 控制器可能遭受攻擊的情境,包括使用模擬器與實際設備。我們挑選了四家全球知名且擁有廣大市場經驗、或是技術領先、在製造業擁有廣大使用者的廠商,針對其 CNC 控制器進行了各種實驗。美國「網路資安與基礎架構安全局」(Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 旗下的「工業控制系統網路緊急應變小組」(Industrial Control Systems Cyber Emergency Response Team,簡稱 ICS-CERT) 提供了我們不少寶貴的協助,扮演我們與這些廠商之間的討論橋樑。為了讓漏洞揭露過程更加嚴謹,我們也迅速通報了相關廠商,第一家廠商的聯繫時間可追溯至 2021 年 11 月。從那時起,不論是改善文件說明、聯繫相關工具機製造商,或是修補相關漏洞、在產品中加入更多安全功能,所有廠商都採取了一些對應措施,希望為終端使用者提供更安全的解決方案。我們在研究過程當中找到了幾種攻擊類型,並將研究發現分享給廠商。而 ICS-CERT 也根據這份研究發布了 Haas 和 Heidenhain CNC 控制器相關資安風險的公告。以下說明這攻擊些類型之下的一些潛在的攻擊手法,請看「表 1」。
| 攻擊類型 | 攻擊 | Haas | Okuma | Heidenhain | Fanuc | 總數 |
| 入侵 | 遠端程式碼執行 | √ | √ | √ | 3 | |
| 損害 | 停用進給暫停 (feed hold) 功能 | √ | 1 | |||
| 停用單節執行 (single step) 功能 | √ | √ | 2 | |||
| 提高刀具壽命 | √ | √ | √ | 3 | ||
| 提高刀具負荷 | √ | √ | √ | 3 | ||
| 改變刀具幾何數值 | √ | √ | √ | √ | 4 | |
| 阻斷服務 | 降低刀具壽命 | √ | √ | √ | 3 | |
| 降低刀具負荷 | √ | √ | √ | 3 | ||
| 改變刀具幾何數值 | √ | √ | √ | √ | 4 | |
| 透過參數化程式造成阻斷服務 | √ | √ | √ | √ | 4 | |
| 觸發客製化警報 | √ | √ | 2 | |||
| 勒索病毒 | √ (網路共用) | √ (網路共用或 THINC API) | √ (網路共用) | 3 | ||
| 挾持 | 改變刀具幾何數值 | √ | √ | √ | √ | 4 |
| 挾持參數化程式 | √ | √ | √ | √ | 4 | |
| 覆寫程式 | √ | √ | √ | 3 | ||
| 竊取資料 | 竊取生產資訊 | √ | √ | √ | √ | 4 |
| 竊取程式碼 | √ (MTConnect 或 THINC API) | √ (DNC) | √ (FOCAS) | 3 | ||
| 竊取螢幕截圖 | √ | 1 | ||||
| 總數 | 15 | 14 | 15 | 10 |
表 1:我們在研究中發現的攻擊類型摘要。
CNC 工具機所用的刀具幾何數值 (如長度與半徑) 需要經過精密測量以確保刀具適合製造特定產品。這些尺寸必須由操作人員事先測量好,或在 CNC 工具機校正階段自動完成。但如果駭客篡改了這些參數,就可能對工具機本身、工具機零件或正在加工的產品造成損害。我們發現研究中的所有四家 CNC 控制器廠商對這類攻擊都無法倖免。在設計的攻擊情境當中,我們製作了一個 3D 列印的塑膠刀具來示範 CNC 工具機本身的刀具如何因為 CNC 控制器參數設定不當 (將刀具磨耗值設成 -10 mm) 而撞上正在加工的材料,造成刀具損毀 (圖 1)。
本節說明一些駭客試圖干擾生產流程而拖慢工廠效率的情境。在我們研究發現的所有攻擊類型當中,阻斷服務 (DoS) 攻擊是潛在攻擊手法最多的一類,包括:
強而有力的網路資安策略不是光靠挑選適當工具就行,網路資安專家 Greg Young 和 William Malik 點出了 2023 年網路資安的三大非技術性趨勢來協助企業資安領導人降低整體受攻擊面的風險。
重點預覽:
🔻網路資安趨勢 #1:管理束之高閣的資安軟體將成為關鍵
🔻網路資安趨勢 #2:網路資安人才短缺的壓力將持續下去
🔻網路資安趨勢 #3:影子 IT 與 IT 零散的問題會讓 CISO 被蒙在鼓裡
網路資安牽涉的不單只有技術,一些非技術性層面,例如:人員、流程與技術的管理,對於改善企業資安狀況、降低資安風險也同樣重要,只可惜這方面經常被人忽略。為了協助資安長 (CISO) 與資安領導人針對 2023 年預做準備,以下分享網路資安的三大非技術性趨勢。
繼續閱讀看看資安長 (CISO) 與資安領導人們該如何策略性地管理網路資安預算以便在經濟衰退與人才不足的情況下提升資安團隊的生產力。
網路資安團隊的日子沒有一天是「輕鬆」的,他們一方面要面對經濟衰退所引發的潛在問題 (尤其是新創科技公司);另一方面,不論是何種規模的企業目前都面臨嚴重的網路資安人才不足的問題,再加上預算刪減,還有網路犯罪活動比以往更多,甚至還有國家級駭客對美國企業發動攻擊。
經濟衰退讓資安團隊正面臨預算刪減的問題,資安領導人必須把握機會重新調整資安預算的分配以維持工作效率。
本文討論資安長 (CISO) 與資安營運領導人該如何更妥善管理網路資安預算以及資安風險,利用尖端技術、策略性分配預算,以及更有效的 內部資安訓練,讓資安團隊變得更有生產力。
就如同美國大聯盟棒球隊會透過農場系統來培養年輕球員一樣,最好的 CISO 也會藉由訓練實習生或公司其他部門員工來培養自己的人才。資安營運中心 (SOC) 分析師通常是從另一個 IT單位調職到網路資安團隊,而且在今日,這類人才甚至不一定要從資訊相關部門中發掘。
就經濟面而言,這樣的作法是一種在合理經費下擴編 SOC 人員的創新手法,事實上,在人才短缺的情況下,您甚至無法從外部找到合適的人才。除此之外,內部培訓計畫還能建立忠誠度並留住人才:根據一份 ISACA 的調查 發現,網路資安專業人才離職的主要原因,除了薪資之外,其次就是苦無晉升管道或發展機會。
當您培養的年輕人才一路變成網路資安專家,而且不會從舊公司帶來一些壞習慣時,您前期投資的訓練成本就能獲得回報。
雖然花錢培養團隊人才的確是一種策略性有效運用網路資安預算的作法,但有時您需要的是更立即的助力。今日一些關鍵人才短缺的問題其實可透過自動化技術來解決,例如:機器學習 (ML) 和人工智慧 (AI) 技術。
透過自動化,再搭配一套具備 XDR 功能的平台來蒐集並交叉關聯多個防護層的活動資料,您就能有效克服技術與團隊的障礙。這套方法可讓那些高薪又稀少的 SOC 分析師避免浪費時間去手動追查每一起資安事件。
資安分析師一旦不必浪費時間處理一些「顯而易見」且機器做起來更有效率的工作之後,就有更多時間可以專心思考困難的問題。例如,當有可疑資料在企業軟體供應鏈網路內部移動時,光靠 ML 技術可能還不足以找出問題的根源。此時您就希望您最強的分析師能親自深入調查,再配合技術的協助,他們就能更有效發掘並遏止網路威脅的擴散。但如果他們必須透過手動方式來辛苦分析電子郵件入侵或勒索病毒攻擊過程的話,他們恐怕將很難達成任務。
現在,擺在眼前的最大問題就是預算分配。有經驗的 SOC 分析師通常需要六位數的薪水才能挖角。但這些都是理論,問題是市場上缺乏百分之百符合這樣條件的人才。
但其實這當中也許有一些轉圜空間,許多企業的 IT 部門也許隱藏著一些閒錢可以讓 CISO 拿來建置技術、訓練人員和招聘人才。
找找看有沒有一些 被束之高閣的軟體,採購部門經常花費大筆經費支付一些企業早已不再使用的產品維護和支援合約,而且情況比你想像的普遍。CISO 可以盤點一下公司有哪些早已不用的軟體,將這些錢省下來就可以榨出更多預算,而且這樣的情況還不只限於資安領域。
另一個可發掘更多預算的方法就是想辦法利用大量採購折扣。比方說,各業務單位 (不只是 IT) 都可能會自己向同一家廠商購買軟體授權。而這些散置在各單位的花費加起來,其實已符合大量採購折扣條件。或者,有些業務單位甚至還付費購買一些企業授權方案早已涵蓋的產品。
您可尋找能夠互相搭配以發揮綜效的工具,各自為政的產品 無可避免地將帶來可視性漏洞與分散不連貫的警報通知,而資安團隊在警報疲乏的情況下通常會忽略這些通知。
但如果 CISO 採用的是一套全方位網路資安平台,資安經費將發揮更大效益,因為所有的端點、雲端、電子郵件、網路及行動裝置防護工具將會持續提供資訊讓資安團隊全面掌握所有資安產品與資安漏洞的可視性。
一套真正的平台,不僅將提供遠大於大量採購折扣的「價值綜效」,其「技術綜效」所帶來的監測、通報及回應能力,將遠勝一大堆毫無整合的單一面向產品。
面對網路攻擊與資料外洩事件不斷增加、數位受攻擊面不斷擴大、全球網路資安人才短缺,以及經濟的不確定性,CISO 們應該採取一種全方位的策略來因應資安威脅。
上一波的經濟衰退並未造成資安預算削減,原因是經濟衰退反而讓駭客變得更加積極,反倒是 CISO 的角色開始出現變化,他們變得較少出現在第一線,而是出現在董事會。由於網路資安已逐漸被普遍視為企業的一項優先要務,所以企業管理高層 (C-suite) 不太可能會讓企業處於風險。
如欲了解有關 Trend Micro One 的更多資訊以及全方位網路資安平台的效益,請參閱以下文章:
原文出處:4 Cybersecurity Budget Management Tips 作者:Greg Young