FineArt News

資安新知

端點防護v.s.零信任

端點移動中,控管怎麼跟著走

端點裝置指的是公司配發的筆電設備,在離開公司的安全環境後,除了防毒軟體防範病毒或木馬的攻擊外,公司機密資料保護工作就落到端點防護軟體上。

對於會移動的筆電管理員必須預先制定所有情境下的控管政策,以下是建議作法

X-FORT 註冊碟

可將隨身碟、指紋碟、市售的外接式儲存裝置等在X-FORT伺服器上註冊,並且只允許註冊過的外接式儲存裝置可被存取使用,其他未經註冊者,將無法使用。

擴展零信任機制到端點裝置,不僅僅是人的身分驗證

使用零信任架構保護企業免於利用身分的入侵攻擊,是一種公認有效的網路安全防禦方法,許多企業現在流行以這種策略主軸構建安全防禦。

零信任機制強調身分管理和網路存取控制,超越了過時的“信任,但驗證”預設處理方法,而是強制要求“永不信任,始終驗證”的座右銘,這對要求法規合規性的稽核或風險管理部門,無疑是最完美的最好的自然答案。

安全的遠端連線存取

一場疫情突顯遠端存取的重要

當今的商業環境要求員工和供應商,有權存取公司的網路和應用程式,無論他們在哪裡或使用什麼設備。即使人員身在荒郊野外,越來越多的業務可以在雲中進行,包括技術支援、電子商務、記錄存儲和其他常規業務功能。

允許從任何地方遠端存取任何設備很方便,但每當遠端存取組織網路時,都會讓你的業務容易受到駭客和竊賊的攻擊,可能會破壞網路和或竊取有價值的資料。企業需要防護方案來保護網路免受破壞和威脅,同時提供企業營運所需的安全遠端存取。

軟體系統自動化測試取代人工測試

在軟體測試中,自動化測試指的是使用獨立於待測軟體的其他軟體來自動執行測試、比較實際結果與預期並生成測試的過程。在測試流程確定後,測試自動化可以自動執行的一些重複但必要的測試工作;也可以完成手動測試無法達成的測試。對於持續交付和持續整合的開發方式而言,測試自動化是至關重要的。

如何實施零信任程式執行

應用程式控管機制中,傳統常見的做法是用黑名單的方式,阻擋惡意程式或不需要的程式執行。白名單採取相反的方法,預設情況下拒絕執行任何未獲准許的應用程式。這種"預設拒絕"的方法,可以提供更多的安全性;最大的原因是這麼做可以防止未知的惡意程式執行,即所謂的"零日"攻擊。在零信任架構上來說,任何未在白名單中的程式,都屬於不信任的應用程式,預設阻擋執行。

Hook API讓應用程式乖乖轉彎,駭客也是這麼做

我們知道,一些應用程式在設計完成後,就已經定版了,程式會依照特定的邏輯運行,除非拿到原始碼,修改後,重新編譯,否則無法更改程式的既定流程。例如:Notepad.exe 在原始的設計上可以開啟硬碟上的任何檔案,如果我們希望一個特別的 Notepad.exe 不能開啟在 C:\Security 目錄下的檔案,顯然和原始的設計不符。如果要達成上述的目標,強迫改變Notepad的行為,就必須使用Hook API的技術。駭客和安全防護間的攻防,也常會使用 Hook API 技術,來改變某些應用程式的行為,所以有必要進一步瞭解 Hook API 技術是什麼。

X-FORT 應用程式控管信任機制

X-FORT應用程式控管,具備簡單又容易管理的規則,不增加管理者負擔就能保護端點安全,同時支援黑、白名單技術。黑名單又稱為「阻擋名單(Blocklist)」,當X-FORT系統發現黑名單的程式,立即阻擋執行。缺點為難以完全列舉所有的惡意程式;相反地,白名單又稱為「通行名單(Allowlist)」,適用於防範未知的威脅(如勒索病毒、零時差惡意程式)。

只有X-FORT白名單規則的程式允許執行,名單外的程式預設禁止執行。規則限制比黑名單還嚴謹,更能提供全面的資安防護。

X-FORT勒索軟體防護方案

根據日本IPA(情報處理推進機構)發布2021年日本企業資訊安全10大威脅,勒索軟體已從去年的第五名今年大幅躍升到第一名,可見對企業進行勒索攻擊已經是駭客的主要收入來源,他們會採取攻擊有可能交付贖金的企業,已非當初的亂槍打鳥方式了。雖然企業的資安防禦在提升,但面對集團化的駭客組織他們也在精進勒索軟體攻擊的方法,導致企業防禦更加困難,面對勒索軟體企業除了被動的防守外,下面介紹勒索軟體發作四階段的應對計畫是可參考的方向。

逆向工程分析漏洞如何被利用

如果想成為一名真正的資安防護專業人員或電腦鑑識調查員,那麼了解軟體在原始碼的工作原理是必然不可少的。您需要能夠分析漏洞如何被利用的原始碼,或者分析惡意軟體原始程序才能真正理解它。反組譯是將二進位可執行檔轉換為更易於人類理解的高階語言的過程。通常這意味著將可執行程式轉換組合語言,再反編譯成為 C或其他高階語言的原始碼。

居家辦公,自動切換資安政策很重要

異地工作的資安挑戰

當疫情大流行而迫使組織,從完全在公司內辦公,或混合辦公室/遠端辦公,快速轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是:公司要在極短時間內給居家人員準備設備,另一方面全面性調整資安架構與政策。重要的是考慮遠端工作的員工所使用裝置,除了工作之外,可能同時用於購物、支付帳單和一般 Web 瀏覽活動,這會增加洩漏露組織資料的風險。

快為電腦的重要檔案戴上口罩 防範勒索病毒就用FAC資料夾防護

近日新冠病毒疫情趨嚴,人人戴口罩、勤洗手、保持社交距離、減少不必要外出。同樣面對網路世界盛行的勒索病毒,企業如何有效保護電腦中的重要檔案,除備份外,還有其他方法? 有的!透過端點防護機制,利用應用程式白名單限制保護資料夾存取行為,就有如口罩的保護篩選作用,做到事前阻斷惡意程式,讓電腦中重要的文件多一層保護。

解構Target Ransom & Malware Steal的技術手法

這幾年Ransomware的新聞頻傳,雖然各個企業也因此提出相當多的對策與防範機制,但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料,進而勒索贖金;到竊取受害者的資料,再對受害者勒索贖金否則就公開資料進而威脅受害者;到現在Ransomware不只是加資料加密還另外將資料竊取走,再對受害者進行贖金的勒索。不管中那一種勒索病毒,都會讓受害者損失慘重。

Targeted Ransomware這兩年開始出現,更是讓企業氣得牙癢癢的Ransomware攻擊模式,Targeted Ransomware是高度客製化的Ransomware,專門針對被鎖定的企業,對該企業製造客製化的Ransomware,進行嗅探偵測找出脆弱點,潛伏在企業的系統中伺機透過漏洞進行攻擊,進而勒索該企業,若不付贖金就會公布機密資訊的方式,讓各個大企業乖乖就範。

讓安全政策隨行動辦公室的時空主動變換

2019年年底開始爆發的COVID-19疫情持續漫延,因為疫情的關係帶動了遠距工作及遠距學習的新型工作及生活方式。俗話說東北有三寶,行動工作也要有三寶 --- 筆電、手機、充電寶(行動電源)。新世代行動工作者只要有筆電、手機、再加上行動上網,隨時隨地都可以工作、學習。

但其實遠距或行動工作處處潛藏著危機,日本IPA調查2021年資訊安全10大威脅,其中第三名是今年新入榜,針對遠距工作等新常態工作方式的攻擊。過去一年多以來日本疫情一直控制不下來,東京都、大阪府等已經實施了好幾次緊急事態對策。不只賞櫻活動降溫,今年連五一黃金週也泡湯了,東京奧運延後了一年還不一定能辦成。精品科技在東京的子公司從去年3月東京開始爆發大規模疫情後,一直到目前都採取居家辦公,我們和NTT DATA等合作伙伴的活動也全都改成線上會議。這些新工作常態正面臨著前所未有的挑戰與威脅,這也讓有心人士有可趁之機。

透過X-FORT解構非常規操作行為

內部威脅的範圍可能與一般認知不同,不一定如組織所想像的直接。除了當前的員工和管理人員外,還可能是可以存取特定系統的前員工,第三方顧問或業務合作夥伴都可能是內部威脅。

業界相關研究表明,將近20%的員工可以存取組織內的所有敏感資訊,這意味著,任何知道組織的網路資源和IT生態系如何運作的人,都可能成為內部威脅。阻止內部人員竊取重要資訊是一項非常艱鉅的挑戰,但仍有一些方法可以減輕惡意內部人員相關的風險,並檢測可能洩漏組織關鍵業務和敏感資料的異常行為。

記錄可視性,X-FORT 追根究柢

iThome 在 2020十大資安趨勢調查,得出資安威脅的第一名是資料外洩。而國外的知名研究機構Ponemon Institute的2020 Global Encryption Trends Study調查報告,也呈現類似的結果。資訊人員發現資料外洩的威脅有54%是來自內部員工的不當使用或疏忽,其次是系統失靈(31%) 或 駭客入侵(29%)

觀察資料在公司內部的流通和使用情境,主要集中在伺服器,然後供Client端瀏覽、上傳、下載。因此有權限的使用者,可以很輕易的將資料從各種實體裝置,或是網路通訊將資料攜出公司。像是USB隨身碟、智慧型手機,或是將公司檔案上傳到私人的雲端硬碟、Webmail。

阻斷勒索!端點控管讓 EDR 反應更直覺快速

要防範勒索軟體,需要注意三大重點:

  1. 事前阻斷:儘量讓資安問題不要發生。
  2. 平時備份:確保備資料的可用性。
  3. 防止擴散:萬一不幸發生勒索時,要馬上進行止災,防止問題的擴散。

一般來說, 我們就是在前兩項之間不停的循環操作;當問題發生時,進行止災防擴,最後,再將備份的資料,進行有效的還原。

白名單的原理 : 讓誰進家門?

應用程式白名單是防止未知軟體在電腦上執行的有效方法。NIST 為應用程式白名單提供了良好的遵循建議: "應用程式白名單是根據定義明確的基準上,授權在主機上允許執行應用程式及其元件和(程式庫等等)清單"。應用程式白名單機制在現實運作中是直接有效的理由是,對比於黑名單,你必須事先知道一切可能的壞人特徵點;顯然時效性與有效性都大打折扣。此外,黑名單方式無法有效面對未知威脅。

中小企業也能做到資安零信任

零信任(Zero Trust)是由John Kindervag10年之前所提出的安全概念模型,零信任有別於傳統的IT網路安全架構守護邊界作為主要訴求,零信任的概念是可以更完善的保護,在企業中不應該完全信任內部或外部的任何連線、裝置,需要用適當的方法認可每一條連線與裝置。

在零信任的安全架構中,需要做不同層面的思考,零信任主要目標可是透過各種方式限制使用者擁有過多的權限,對於每個網路連線都能夠檢查,強化整體企業的網路安全,確保企業不管是從外部或內部都能夠大大的降低威脅,因此對於使用的應用程式、裝置、資料存取、機密程度都做全方位的控管;並搭配更精細的權限分配,這樣才能夠展現出零信任的價值。

端點控管必須內外防護兼具

根據Verizon發布資料外洩事件調查報告 (DBIR),內部攻擊或威脅肯定是重要的因素之一,實際上,大約有30%的外洩是內部威脅。到目前為止,對組織的最大威脅仍然來自外部參與者。據去年的數據顯示,有70%的違規行為來自外部參與者。其中有1%涉及多方人馬,而且也有1%涉及第三方合作夥伴。

人們普遍認為內部人員是組織安全的最大威脅,這可能有點偏誤。誤以為來自特定來源威脅的「數量」,相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發,可能造成的危害是外部攻擊的十倍,還是要取決於事件的性質。

  1. 內外防護兼具,X-FORT的監控防護建議
  2. 帳號管理為什麼這麼重要?
  3. X-FORT FAC 資料夾防護,協助防止勒索
  4. 為什麼端點防護要自動切換的安全規則?
  5. 資料保護: insider 或 outsider?
  6. 從惡意程序與勒索軟體檢視軟體白名單價值與挑戰
  7. Targeted Ransomware技術分群與減災作為
  8. 利用偽裝欺敵找出內部威脅來源
  9. 員工電腦隱藏的破口,IT須小心對應
  10. 在企業資料安全上,DLP的EDR 能幫上什麼忙 ?
  11. 勒索軟體發作,從減災做起
  12. 2020年度客戶教育訓練重點迴響
  13. 保護內部Windows File Server 的挑戰
  14. 伺服器防護面面觀
  15. 外接裝置控管分類(外接裝置/模擬裝置的威脅)
  16. 考量隱私、道德與責任,才能順利推動資訊安全
  17. 資安政策自動切換,保有工作彈性與安全強度
  18. 端點防護EDR (Endpoint Detection and Response)
  19. 【臺灣資安大會直擊】內賊如何閃避IT監控偷資料?精品科技揭露常見隱寫術與混淆手法
  20. 2020資安大會,化被動防禦為主動偵測,阻斷可疑活動

子分類

零信任