如果我說針對性攻擊對任何一家公司來說都只是時間遲早的問題,絕不誇張。在2014年,我們看到許多受害者在想辦法解決看不見的敵人。最近一個非常著名的例子就是Sony被攻擊造成該公司大量的問題加上大量資料被洩漏。身為威脅防禦專家,我們努力讓這無形的威脅變得可見:你應該從2014年的網路攻擊中學到最重要的事情是什麼?我們可以將什麼經驗帶到2015年?
保護你在雲端的資料
雲端運算安全的責任在2014年是再清楚不過的。雲端運算有著強大的擴展能力,讓越來越多的小型、中型以及大型企業都能同樣地加以採用。雖然使用者可以期望「共同責任」模型提供一定程度的安全性,像是雲端服務供應商運行雲端服務和基礎設施(包括實體的硬體和設施)的作法。但使用者不要忘了,雲端資料存取可能會因為自己那一端而遭受攻擊淪陷。
比方說,在三月時竟然發現了一個普遍的「開發者壞習慣」,有成千上萬的密鑰及私人帳號在GitHub這程式碼分享網站上發現。這就跟一般消費者將使用者名稱和密碼放到公共論壇上一樣。從某些方面來看,這甚至更加嚴重,因為金鑰外洩代表著數千份的秘密公司文件、應用程式軟體能夠被惡意份子所存取。而且因為入侵者基本上是以開發者身分登入,他可以刪除整個環境或將其作為人質勒贖。
在一個更加致命的例子裡,Code Spaces因為攻擊者取得權限進入其主控台並開始亂刪客戶資料庫後不得不在2014年關閉。對於一個本質強烈依賴於軟體服務的企業來說,「偏執於安全」應該是必要的一環。雲端服務有雙重或多重因子身份認證選項、完全私密模式或基於身份/角色管理,這些都可以大大地減少入侵攻擊,或讓入侵變得非常困難。
IT管理者必須現在就在其雲端環境檢視和實行各種雲端安全選項。
Code Spaces事件也對那些做雲端生意的公司上了同樣重要的一課:定期備份雲端資料,因為你永遠不知道什麼會發生。3-2-1法則成為最佳實作是有很好的理由的,只有當資料陷入危險或永遠消失的時候才可以看到它真正的價值。
保護你的關鍵系統
任何有連接自己之外的設備都有可能被遠端入侵。問問眾多PoS/零售系統攻擊下的商家吧。一件接著一件,我們在2014年看到了大批的入侵外洩事件。零售業和餐飲業,那些眾多分店都在使用端點銷售系統的店家被入侵,外洩出的信用卡資料最終會在網路犯罪地下論壇上兜售。
當你想到這些攻擊,你可能在想惡意軟體如何進入這些獨立的系統。畢竟大多數 PoS系統不會被用來收發電子郵件,所以不會有魚叉式釣魚郵件作為感染媒介。此外,大多數 PoS系統不會或不能加入公司網域,因為沒有功能或必要需要其登入公司網路。
這類型的系統所需要的只有本地端管理者帳號。這就足以讓 PoS生態系統運作:接受、處理和完成買家、商家帳戶及相關銀行和信用卡公司間的交易。因此,攻擊者唯一的機會是用來進行維護的遠端控制功能,那些維護接入點。大多數 PoS系統具備遠端控制服務,如RDP、VNC或TeamViewer,用來執行一般系統管理,像是更新作業系統。接著像BrutPOS和Backoff等知名PoS惡意軟體會用暴力破解法攻入PoS/零售系統。
IT管理員必須限制能夠存取 PoS系統的IP地址,並執行嚴格的帳號鎖定政策以避免駭客拿著資料穿過 PoS系統。
此外,這樣的存取限制不該局限在 PoS系統,但是所有儲存關鍵公司或客戶資料的系統。我們的技術長Raimund Genes在2014年所作的一項重要建議是,確認核心資料並為其建立適當的防禦能力。PoS系統是處理和儲存核心資料系統的完美例子,但此模型不該僅限於零售業 ,其他產業也都有類似系統需要加以確認並提供同等級的防護。
在互聯網範圍的漏洞下保護你的網路
在2014年,我們看到數個廣泛使用的協定和服務漏洞被發現。每一個都有自己的名字:SSL的Heartbleed、Bash的Shellshock、SSL 3.0的POODLE和TLS的POODLE 2.0,每一個都引發了大量的關注,因為每一個所影響到的都是絕大多數的網路使用者。
IT管理者必須準備和建立程序來識別、分析和解決會影響他們網路的關鍵漏洞。
我們在2014年所經歷的一切也很有可能會在新的一年裡繼續,廣泛使用的平台和協定的休眠漏洞可能被發現和利用。有鑑於此,IT管理者及資安業界都需要作出更好的準備,以確保此類漏洞的影響可以降到最小。
想做到這一點,IT管理者有三個主要項目需要涵蓋:緊急回應,確保識別和防禦網路的受影響部分。威脅情報,了解漏洞,可以被攻擊的方式和其對公司的威脅。以及修補程式管理,確保當解決方案出來時可以防護整個網路。
總體而言,2014年是個非常艱難的一年,而這些困難也帶來了許多經驗教訓。但我們能從中獲得真正的價值是確保我們能夠運用這些經驗教訓以更好地處理未來的威脅。
@原文出處:Learning From 2014: Security Resolutions for 2015作者:Ziv Chang(網路安全解決方案總監)