根據(ISC)²,一家網路安全及IT安全專家組織所指出,全球的網路安全技術人員短缺在2018年達到了近300萬。人才短缺問題也反映在趨勢科技委託進行的Opinium調查裡。在1,125名資訊安全長(CISO)中,有近50%的人認為這是他們組織所擔心的重點之一。隨著資安威脅的持續增加(趨勢科技在2018年阻止了超過480億次威脅)且變得更加先進,全球技術人才短缺也讓組織面臨更高的風險。
[延伸閱讀:主動事件回應策略的歷史概述及其對企業的意義]
來自美國、英國、德國、西班牙、義大利、瑞典、芬蘭、法國、荷蘭、波蘭、比利時及捷克的資訊安全長在接受訪談時評估網路安全的挑戰,包括了技術人才短缺。
調查顯示,在人員方面,資訊安全長不僅面臨組織內部缺乏網路安全意識的問題,還面臨著技術人才短缺的問題。有33%的受訪者表示在招聘新人才時面臨問題,49%的受訪者擔心人才短缺會讓自己的組織面臨更大的風險。美國的資訊安全長裡有54%(被調查國家裡的最高比例)承認很難請到熟練的專業人才。
繼續閱讀過去幾年裡,所謂的自動化,或是將負擔沉重的資安相關作業委派給機器的流程,開始在組織之間得到不少支持度。根據 Ponemon Institute 最近公佈的研究指出,參與研究的組織中有將近 79% 早已開始使用自動化,或有意及早採用自動化,以協助保護企業免於網路威脅。
但採用自動化技術真的是建構有效網路資安堡壘最重要的工作嗎?自動化能適當保護企業,讓企業有能力自己抵禦日益增加的安全威脅嗎?
運用自動化這類的進階技術,便能將大量日常的網路資安作業交由機器執行。根據趨勢科技在今年 3 月公佈的 Opinium 調查指出,受訪的資訊安全長 (CISO) 中有 68% 相信,自動化有助於減少業界人才短缺的問題。此外,相當高比例的 CISO 受訪者 (約 59%) 認為,像是機器學習(Machine learning,ML)等許多人工智慧技術,都有可能減緩人才短缺的問題。
[請參閱:困擾半數組織的網路資安人才短缺問題]
但組織若想從自動化和人工智慧技術中獲益,內部必須設有專業人才,協助組織分析結果,提供為了改善組織的網路資安態勢,該採取何種行動或該作何決定的相關認知與見解。
但隨著資安威脅數量不斷增加且持續精進,缺少專業人才來抵禦資安威脅的問題只會日益加劇。截至 2018 年為止,網路資安產業的缺工人數已來到將近 300 萬之多。
根據 Ponemon 的研究指出,56% 的企業內部沒有技術純熟的網路資安專家駐守。這也是多數企業無法採用自動化技術的原因,因為公司內沒有人可以幫他們設定、操作及分析資料。
隨著網路資安人才短缺的問題持續擴大,組織暴露在各種資安威脅之下,營運、財務和聲譽都有可能受損。但只要部署像託管式偵測及回應(Managed Detection and Response,簡稱MDR) 這類的資安服務,公司便能受到由威脅分析師、調查員和事件回應專家所組成,全天候待命的網路資安人員的保護。MDR 專家能讓自動化工具運行,提供威脅獵捕與調查、分析結果等。
[請參閱:透過託管式偵測及回應服務發現 Emotet 散播的 Nozelesn 勒索軟體載入程式]
MDR 服務讓企業在彈指間就能輕鬆找出進階威脅之間的關聯。儘管監控和偵測惡意軟體的龐大工作量都可交由自動化完成,但仍能透過 MDR 取得每次攻擊的詳細資料,MDR 團隊可提供分析,指出攻擊來源、其感染鏈,以及是否感染了組織的網路或系統。最重要的是,團隊可提供建議的減緩策略。
趨勢科技的託管式偵測及回應服務團隊除了提供資安事件的即時回應,還能彈性運用資安解決方案,揭露該類事件,將進階 AI 和自動化技術的運用範圍最大化,有效關聯資料,說明資安警示並找出其優先順序,同時協助鞏固組織的網路資安防禦。
資料來源: Benefiting From Security Automation With Managed Detection and Response
透過趨勢科技的託管式偵測及回應(Managed Detection and Response,簡稱MDR) 監控,我們發現了模組化的Emotet惡意軟體在散播Nymaim惡意軟體,後者接著會載入Nozelesn勒索病毒。我們2019年2月在一間飯店的監控端點上偵測到了這隻Emotet變種。為了近一步調查,我們取得了580個類似的Emotet附件檔,並收集從2019年1月9日到2019年2月7日間的資料。
在2月11日,我們開始調查在MDR監控端點所看到的一起Emotet偵測事件。為了便於分析,我們將此端點稱為EP01。在初步調查時我們注意到下列可疑檔案:
繼續閱讀趨勢科技的偵測及回應託管式服務(managed detection and response,MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。
勒索病毒 (勒索軟體/綁架病毒)儘管數量明顯地減少了,但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒(偵測為 Ransom_RYUK.THHBAAI),它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出,Ryuk專門被用在針對性攻擊,主要目標是受害者的重要資產。在12月攻擊事件前的幾個月,Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣。
趨勢科技的託管式偵測及回應(MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk,第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件,這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。
在第一起案例中,使用TrickBot的攻擊者透過Eternal Blue漏洞及收穫的帳密來進行橫向移動和散播Ryuk。
繼續閱讀我們將會介紹2018年美洲最常見的資訊竊取病毒、勒索病毒Ransomware (勒索軟體/綁架病毒)和挖礦( coinmining )病毒,以及這些威脅讓我們了解主動式威脅偵測和事件回應能力的重要。
2018年的威脅情勢凸顯出威脅偵測和主動式事件回應能力的重要。在我們的威脅情勢評估中,根據趨勢科技Smart Protection Suites的反饋資料加上偵測及回應託管式服務(managed detection and response,MDR)感知器的監測資訊將威脅分類為資料竊取病毒、勒索病毒及虛擬貨幣挖礦病毒,並提出以下見解:
北美地區的常見威脅
趨勢科技的Smart Protection Network資料顯示出資料竊取病毒仍是北美最常見的惡意軟體。虛擬貨幣挖礦病毒的散播可能是因為虛擬貨幣的流行,而勒索病毒的下降可能是因為網路犯罪分子發現可以用挖礦劫持或虛擬貨幣挖礦病毒作為替代方案。
繼續閱讀