IT 管理員容易忽略的網路防禦基本概念

本文分享一些 IT 管理員可以積極實行的規則,好為網路建立「基本的防禦」。這裡說的”基本”是因為這些規則並非是為了涵蓋網路內所有類型的可疑活動 – 只是一些作者認為很可能被漏掉的活動。

IoE-Vulnerabilities-700

偵測到使用非標準端口的服務

一般的協定都有預設的端口來讓應用程式或服務使用。一個執行某協定的服務卻沒有使用預設端口可以視為可疑 – 這是常被攻擊者利用的技術,因為預設端口通常都會被安全產品監控。同樣地,偵測未知協定使用標準服務端口也很重要,像是 80(HTTP)、25(SMTP)、21(FTP)、443(HTTPS)。因為有服務使用這些端口,所以IT管理員不能加以封鎖,所以就有可能被攻擊者利用來進行攻擊。由於每個企業的環境都有所不同,所以確認可以允許哪些端口就是IT管理員的工作,而且要密切地監視流過這些端口的流量,確保是預期中的正常流量。

除此之外,封鎖環境中所有未使用的端口也是個重要的做法。如同我們從以往關於針對性攻擊中後門程式所使用技術的研究裡學到,會使用的端口往往依賴於網路內允許哪些通過。限制網路中所打開的端口可以防止攻擊者加以濫用。像是攻擊者還可以利用網路中用來同步時間的網路時間協定(NTP)來發動分散式阻斷服務(DDoS)攻擊。

偵測名稱有可疑特徵的檔案

誘騙使用者打開惡意檔案的基本技巧之一是要變造檔案名稱讓目標認為自己所開啓的檔案並無害處。儘管很難單單靠著檔案名稱就確認一個檔案的性質,還是有幾個可疑的檔名特徵可以讓管理員加以注意:

  • 檔案名稱中帶有太多空格
  • 檔案名稱帶有兩個或以上的副檔名(尤其是當實際副檔名為可執行檔時)
  • 檔案類型和副檔名並不匹配(例如:PE類型檔案的副檔名卻是「pif」,「bat」或是「cmd」等)

繼續閱讀

員工造成的資安事件,並未像駭客威脅那樣受到嚴格重視

 四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件,造成大約 415,000 美元的金錢損失。

企業 商務 IT SMB Man

 今日網路安全環境最大的威脅和第一要務為何?

美國企業已逐漸感受到資料外洩的影響。不論他們是否曾為駭客入侵的受害者,或是在電視上看到其他同業受害,網路犯罪在今日的影響力似乎不容小覷。

然而,PwC 與 CSO Magazine 所做的 2014 年美國網路犯罪現況調查 (2014 U.S. State of Cybercrime Survey) 發現,隨著各領域的資料外洩事件數量持續攀升,企業所採取的資訊防護策略卻各不相同。

Continuity Central 引述該報告指出:「儘管網路犯罪事件的數量與相關的財務損失持續升高,大多數的美國企業在網路安全防護上依舊比不上網路駭客的毅力與技巧」。

網路犯罪概觀
該調查發現了多項驚人數據,描繪出今日網路犯罪駭人的一面: 四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件,造成大約 415,000 美元的金錢損失。

該調查發現,14% 的受訪者表示過去一年曾因攻擊和入侵而發生財務損失。但是,經過研究人員估計,這些事件的成本可能遠高於此,因為曾經遭遇資安事件的企業有 67% 並無法估算相關的費用。

當前的網路犯罪環境已提高了企業的安全意識,知道自己需要一種防護措施來保障敏感資訊及企業資源。在過去一年曾經成為網路犯罪受害者的 77% 企業當中,有 34% 表示這類事件在過去幾個月來更加普遍。整體而言,現在已有超過半數的企業 (59%) 比以往更擔心網路威脅。 繼續閱讀

IT 部門因網路活動劇增而擔憂無法偵測威脅

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示,許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心,需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況,其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動,像是Target零售商的資料外洩,行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭,以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅,英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌,但是組織必須建立新的安全策略,不只是來自IT管理者,還要包括其他部門人員的加入,因為網路攻擊可能會中斷整間企業運作。從技術角度來看,整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

smb 中小企業 黑帽三人組

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層,公司的運作可以在面對攻擊時保持安全,超過36%的人表示自己不能這樣說。

不過對這些主管來說,真正要面對的現實問題是採購流程和人員方面,而不是網路罪犯能力的突然增加。有近三分之一受訪者證實,他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案,有28 %的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料,而且沒有足夠的資源或工具來保護他們寶貴的資產,所以他們可以利用這些弱點,」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案,讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來,IT部門就能夠對全盤網路安全架構有可見性,使他們能夠捍衛自己的系統,對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石,有60%的人反應說,在討論組織安全時,高層和IT部門的瞭解不同。同樣地,多數受訪者對於利用關鍵績效指標來展示進度有困難。

 

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步,特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言,他們甚至不知道自己是否被駭客攻擊過,因為他們的系統內充斥著過多的資料,以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面,有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌,作者Peter Singer認為,公司的高階主管應該要更多地了解IT風險,尤其是因為70%的企業高階主管必須為公司做出關於網路安全的決定繼續閱讀

給IT管理員的 6 個網路安全建議

趨勢科技在過去所紀錄的攻擊事件證實了駭客所共用的一個策略:找出弱點並加以攻擊。不管是紐約時報或是亞洲的小公司,起始點都是透過弱點而入侵。這個弱點可能是關於技術(有漏洞的軟體)或非技術(沒有警覺的員工)。

認識駭客(Hacker),Cracker(破壞者),激進駭客(Hacktivist)網路犯罪份子(Cybercriminal),白帽(White Hat),黑帽(Black Hat),灰帽(Grey Hat)

這個發現強調了要有全面性的防禦來對抗這類攻擊。如同趨勢科技的研究人員 – Jim Gogolinski在之前的報告裡提過,企業對於針對性攻擊並非束手無策。然而,建立堅強的防禦策略需要資源,以及組織本身的大力配合。

特別是駭客攻擊,確保公司網路安全需要主動和被動性的安全策略。下面是一些可以幫助IT管理員的建議,確保他們的公司網站安全。

 

主動式步驟來對抗駭客攻擊

  1. 實施可以定期測試和部署更新的計畫,尤其是安全更新。
  2. 檢查所有端點和伺服器上安裝的軟體,確保在最新狀態。
  3. 確認每個地方都有部署安全軟體(而且在使用中)。也要設定好來偵測和預防攻擊的各個階段,同時也要監控網路、硬碟和記憶體內所出現的各種狀況。
  4. 流程和標準作業程序(SOP)在建立時要考慮到安全性。這不只是適用於員工,還包括合作夥伴、承包商和客戶。
  5. 調查任何異常的網路和系統行為。攻擊通常都以偵察開始,這類可疑的活動可能是攻擊的第一個跡象。
  6. 持續和所有必要單位(不只是IT團隊)規劃和審查你的事件回應程序。Jim也在他之前的報告裡討論到如何實施這些程序 – 「如何讓社交工程訓練有效果?

 

被攻擊時怎麼辦

過去有些攻擊會被「公布」。攻擊細節 – 像是何時會發生、目標是誰 – 都會事先向公眾宣布。在這種情況下,企業最重要的是要確保所有的主動防禦措施(如上面所列的)都有到位,並且對於網路和日誌檔都維持高等級的警覺程度。

布的行動,以及它們公開出來的戰術、工具和程序都是評估和改進現實防禦對策的難得機會。趁此機會來訓練員工、流程和技術去識別針對性攻擊的跡象,不管是已公開還是隱藏的行動。

然而,不管公布的攻擊是否會帶來更多的風險,重要的是企業要有自己的防禦計畫。最終會證明,確保網路安全的成本跟被入侵成功相較起來是微不足道的。

 

@原文出處:Security Strategies Against Hacking Attacks

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

按<這裡>下載 2013台灣進階持續性威脅白皮書APT 攻擊