編輯推薦: 兩個原因,一為筆者描述與客戶之間解決資安事件過程的釐清互動很實在,二為筆者再三提醒客戶,駭客心思慎密以及資安標準規範的基本功的落實。
祝福大家閱讀愉快且受益。
近期我們拜訪了一家企業,討論今年度的資安預算編列。在討論的過程中,承辦人自豪地表示他們的防護規劃非常完整,各方面都已經配備相應的防護產品。在網路層面擁有次世代防火牆保護,在端點主機方面採用了企業版的電腦防毒軟體,並且還建置了NAS系統來定期對資料進行備份。因此,如果只是編列「強化資安」的預算,則有非常高的機率被上頭退回。當時的拜訪並沒有達成實質結論,幾周後事情急轉直下,有了變化。
受駭者的困惑:怎麼就是防不住駭客入侵
星期五的一個上午,我們突然接到幾周前,所拜訪的企業承辦人員急迫來電求助,因為被駭了!承辦描述了公司重要系統被勒索軟體感染的困境,而最近期的備份檔案也被加密無法用來復原,可用的備份檔案也因為版本過舊而不符合現況使用,迫於無奈之下只能重新安裝整個系統,並逐步調整設定以回復原本的服務。然而,即使在回復狀態後,資訊部門仍舊處在「再次遭受勒索威脅」的恐懼與擔憂中,而在面對上頭責令檢討的壓力下,承辦不禁感嘆:我們的防護都有了,怎麼就是防不住駭客入侵。
受害後的檢討:安全失效是關鍵問題
對於上述的資安事件,我們協助事後調查入侵的管道與手法,主要來自於對外伺服器上存在已知的漏洞,能夠被非法執行惡意程序,因此該漏洞成為了入侵行動的一個引信。但是,究竟入侵者是怎麼在極短的攻擊時間內,成功入侵並快速有效率的破壞該企業的重要主機,讓受害者沒有任何覺察跟反應的時間?
對於此一思考,我們協助承辦單位重新審視及盤點該企業的防護架構,藉以解析出受駭入侵的根源問題,令人驚訝的結果發現,承辦所自豪的公司資安防護規劃並不如之前所說的那麼完善,正確來說應該是「有安全防護裝備,但卻都是安全失效的狀況」,總結出以下的情況:
- 防火牆安全失效:網路層面的次世代防火牆正處於採購續約的空窗期,造成資安防禦模組停止2個多月,僅能做為上網閘道與服務管制。
- 電腦防毒攔阻無效:端點主機所使用的企業版電腦防毒軟體,對於採樣到的惡意程式元兇,並沒有能夠偵測及攔阻。
- 備份還原失效:作為最後一道防線的NAS備份主機,也在此次入侵中被列為破壞的首要目標,導致備份檔案也被加密而完全無法派上用場。
這樣的情況就像是偵測火警的偵測器失效、行進中的汽車煞車失靈、發生搶案的監控系統故障都是一樣道理,原本存在的安全防護措施在關鍵時刻無法發揮效果,這也就能解釋「我們的防護都有了,怎麼就是防不住駭客入侵」的問題所在!
駭客一直在關注著你,等待最佳的攻擊時機
從上述的檢討中,乍看之下是一連串的失誤所形成骨牌效應,但是實際上,你可能不知道駭客可能更早就已經偷偷地侵入埋伏、悄悄地勘查蒐集企業環境情報、靜靜地關注著各種可以利用攻擊的破口,等待最佳的攻擊時機發動「快、狠、準的精準攻擊」。