西太平洋快訊




台灣科摩多 為資訊安全把關

胡志豪
台灣科摩多總代裡胡志豪接受卓越雜誌專訪

 

從憑證、雲服務到防堵APT沙盒(文/魏鈺慈)

科摩多因為看準憑證市場,在資訊安全中成為關鍵,在一九九八年網路蓬勃時最早提供網路憑證服務,引領全球安全技術,當前APT(Advanced Persistent Threat)攻擊在國內備受關注,科摩多推出Endpoint Manager(EM)強調以防駭、自動沙箱(Auto-Sandbox)專利技術為核心,搭配整合端點防火牆、未知程式控管、入侵防禦(Host-IPS)、效能監控、系統威脅管理等功能,欲提供企業完整的系統安全管理,免於遭受未知型攻擊程式入侵。

 

摩多是英國公司,從歐洲開啟販售憑證服務,到現今成為全球最大網路憑證公司

 

科摩多最早在英國的公司,自一九九八年從歐洲開始推廣憑證服務至今,在全球擁有完整的銷售服務團隊,推升科摩多在憑證市場占有率連年上升,科摩多除了憑證服務外,更有著強大的資安研究團隊,持續研發資安管理解決方案,持續推展科摩多全方位的資訊安全解決方案。

台灣科摩多胡志豪表示,現今商業架構大多依賴雲端服務.從資料儲存和文件分享,至遠端存取與通訊,雲端已經成為現代 IT 導向的企業流程最重要的核心關鍵。其遭受的攻擊也是最多。科摩多針對端點、主機及網站提供全方位的雲端資訊安全管理服務,有效解決客戶資安問題;有別於傳統資安思維,反而從管理著手。

 

被忽視的資訊安全 讓臺灣成為駭客溫床

每年都有許多資安事件,舉例來說,二○一九年八月底,臺灣醫療產業遭到勒索軟體攻擊,根據衛生福利部統計,約有二十二家醫院受害,雖然在復原工作電腦主機後,沒有影響醫療業務的運作,但也凸顯現今資安防護機制的不足之處。臺灣對資訊安全的思維只針對在閘道設置防禦設備,卻忽略主機或終端個人電腦的安全問題。從過去的資安事件中分析回顧,您會發現所有的攻擊原因大都發生在主機或終端個人電腦上,而大部分主機與終端電腦的資安防護措施,卻因為預算問題和臺灣長期對於資訊安全領域的忽視,使臺灣成為全世界駭客跳板的首選。

駭客持續攻擊我國政府單位網路,意圖癱瘓臺灣關鍵基礎設施的運作。以疾管局為例,面對疫情應變需要一整套完整的通報機制,連貫醫院、機場、縣市政府和衛生所等相關單位,一發現疑似案例馬上通報警察單位,使臺灣防疫全球囑目,國際媒體紛紛借鏡。但如果沒有好的資訊安全服務,再好的通報流程,失去彼此間的通報能力,立即會造成疫情失控的危機。

 

無法感知的APT更可怕

APT攻擊就像是長期埋伏在暗處的軍隊,從鎖定目標,部署埋伏到發動攻擊,其主要目的在於偷竊機密資料,至於資料敏不敏感、重不重要,已非資料持有人說了算,一切全憑竊賊決定。更可怕之處在於,APT攻擊者只要在企業搶下一處,都能藉由持續性的擴散與感染,取得最高存取權限,一步步朝向關鍵資科的所在地前進。傳統的資安機制只能阻擋「已知」的惡意攻擊,即使安裝知名的防毒軟體也無法阻止APT攻擊。

以二○一六年第一銀行ATM資安事件為例,駭客透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。這類「持續性滲透攻擊(APT)」透過長時間埋伏取得使用者權限,短時間內竊取機密資料。

 

胡志豪

科摩多臺灣代理商胡志豪認為VPN 僅能確保連線安全,一旦使用的電腦中有ATP 種子就成為資安破口

 

VPN安全加密 卻是資安破口

胡志豪談及,在居家辦公議題中,公家機關習慣使用VPN虛擬私人網路(Virtual Private Network)作為遠距辦公的工具,但以資安角度而言容易造成許多資安漏洞。
VPN能確保安全連線,並在連線中進行加密,阻擋側聽等疑慮。但VPN只能確保連線之間的安全,但如果員工在家使用的個人電腦是不具完善的資安保護, APT攻擊就能輕易透過自家電腦侵入單位VPN server伺服器,直接跳過防火牆防線,成為資安破口。

 

雲端 沙箱 虛擬環境執行 確保資訊安全

雖然現在各家資安廠商都提供已知惡意程式資料庫進行攔截比對,但對於未知的程式與新形態攻擊手法,是無法被攔截。科摩多於二零一五年在全球找到的惡意程式有超過八千五百萬筆,但資安防禦型產品的攔截率只有二十五%,代表其餘的七十五%是被漏掉的,有再大的資料庫也趕不上新型態惡意程式出現。
科摩多提出Endpoint Manager(EM)企業安全管理系統,基於「Default Deny」架構設計,其運作法是如大家所熟知的門禁管理架構進行安全管理。同樣仰賴特徵碼比對,但卻是屬於逆向方式,也就是執行的應用程式必須經過白名單列為允許,否則一律交由隔離的自動沙箱(auto-sandbox)環境啟動。例如LINE程式一旦經過更新,Hash值隨即變更,對系統而言成為未知型程式,即必須在自動沙箱(auto-sandbox)中運行。相較於市場上熟知的資安設計,則皆為「Default Allow」,意思是特徵碼比對若沒發現異常,即列入信任並放行。「長期以來大都以此方向發展防護機制,才使得近年來常發現以合法掩護的惡意程式成功滲入,遭受APT攻擊。」由於在Default Deny架構下,會出現白名單數量不夠多,導致使用者的應用程式無法執行,勢必會引起反彈。因此必須搭配自動化沙箱,讓未被列入白名單的檔案或應用程式可藉此正常執行。使用者仍可自行安裝軟體,且不需要請MIS(Management Information System)將該軟體列入白名單即可先行開啟,才不致影響使用者操作行為。

之所以直接將防禦機制建立在端點,而非搭配伺服器系統、閘道端、雲端服務共同運行,主要考量是多數的針對性攻擊都是使用者行為導致。而資安機制之所以搭配雲端服務平臺分析,其中一項因素是為了減緩偵測運行時可能帶來運算資源過度耗用,而Comodo EM全新的安全管理架構,採用了「Zero Trust」零信任的管理方式,讓每個系統擁有各自的程式清單資料,而非傳統病毒碼資料庫掃描的方式,讓系統運行最佳化,更不會影像系統效能,克服現有端點防毒廠商效能不彰的問題。

可想像現在臺灣在做防疫的機制,對於從國外進入臺灣的人進行檢驗並實行居家隔離,確保其安全性。居家隔離就如沙箱效果,觀察是否有潛伏在體中的病毒。
反觀如果個人或企業設備只有在主幹網路設置資訊安全的防禦產品,只要越過這道檢驗攔截,即可自由的破壞與竊取資料。