【認清重點】零日漏洞避無可避? CSF防禦框架有險可守
隨著黑客愈來愈傾向利用零日漏洞或內部人威脅入侵企業,企業管理者在發現內部系統被勒索軟件等惡意軟件襲擊時,好多時都會覺得攻擊避無可避。其實最新的 CSF 防禦框架已將防禦比重由識別及保護,延伸至退後一步的偵測,令企業即使已被入侵,都可及早控制受影響範圍,盡量減少損失。
零日漏洞 (zero day vulnerabilities) 是指一些未被發現的弱點,當中包括軟硬件的安全設計漏洞,例如最近需要一再更新的 iOS 作業系統等。由於漏洞尚未被發現,只得入侵者察覺得到,因此黑客便可大搖大擺地利用漏洞進行各種惡意軟件,而不會被網絡安全工具阻截。可能讀者會發現,零日漏洞好似愈來愈常見,除了因為更多網絡罪犯鍾情研究,亦因為現時應用服務的交付時間愈來愈短,安全團隊無法在推出前完成所有測試,才會令問題愈趨嚴重。
對企業的 IT 及安全團隊來說,零日漏洞絕對是頭號敵人,因為傳統的安全策略都著重於識別 (Identity) 及保護 (protect) 等前期功夫,但因為零日漏洞難以被識別,因此更遑論可就入侵執行各種保護措施。VMware CISO Jason Lewkowicz 早前在自家 VMworld 2021 大會上,便提及企業應改變防禦政策,不單要做好前期攔截工作,更要著重內部偵測上。他認為由美國商務部國家標準與技術研究院 (NIST) 提倡的網絡安全框架 (CSF) 非常值得參考。CSF 將識別 (Identity)、保護 (Protect)、偵測 (Detection)、反應 (Response)及回復 (Recover) 列為安全網絡的五大重心,特別是識別及保護被零日漏洞問題弱化後,偵測便變得更加重要。
Lewkowicz 以勒索軟件為例,網絡罪犯在入侵企業後,一般都不會即時執行加密程序,而會先花一段時間搜尋有價值的檔案。如企業的威脅狩獵 (threat hunting) 偵測工作做得足夠,便有可能在過程中發現可疑的地方,例如異常的帳戶登入或存取要求等。另外,他又提到現時不少網絡犯罪集團在成功入侵後,都會暗中在網絡內安裝合法的滲透測試工具 Cobalt Strike,因此企業如能發現上述這些可疑活動,便能及早作出反應,隔離受感染的電腦設備或阻截資料繼續外洩。他建議如企業欠缺合適的人材或工具進行偵測工作,便應委託第三方服務供應商,即是將安全工作外判,某程度上可能更有效率。
