數碼轉型
網絡入侵和數據外洩造成的損失,愈來愈大。據業界統計,數據外洩(Data breach)造成企業平均損失,每宗高達400萬美元。不論數據是否誇大,隨著歐洲GDPR和各國政府立法,數據外洩後面臨的罸款,可以相當驚人。
Microsoft開發IT保安產品,也具備專業團隊,累積實戰的經驗,與國家級黑客周旋,對於如何應付國家級黑客,有第一手經驗。
Microsoft處理的網絡入侵個案,十居其九相當棘手,較早在新加坡網絡保安中心,與業內專家分享實戰經驗。
Diane Boettcher負責Microsoft亞太區的專業服務,曾在美國海軍服役三十年,部署防禦工事富有經驗,目前駐新加坡Microsoft地區總部,出任亞太區專業服務主管(Services Practice Lead),負責為國際企業提供專業服務,加速數碼轉型,包括IT保安諮詢。
據Boettcher解釋,數碼服務不斷增加,用戶維持多個戶口,不少密碼格式接近,黑客以釣魚郵件,甚至免費服務騙取用戶密碼,仍然非常普遍。
DMARC遏止釣魚郵件
據PayPal亞太區信息安全主管Phoram Mehta表示,區內不少數據外洩,成因不一,最普遍原因是密碼遭破解和洩露。多家網上服務供應商,包括了Microsoft、Facebook、Google、PayPal等合作推動了DMARC(Domain-based Message Authentication, Reporting & Conformance),通過驗證郵件網域共同協定,打擊偽造網域發出釣魚郵件。
不少國家金融系統郵件,已參與DMARC,所有印度銀行先後實行DMARC,減少接收盗用域名釣魚郵件的可能性。
密碼外洩危機四伏
不少郵件假冒用戶所熟悉的網域,釋除用戶戒心,DMARC已大量減少了釣魚郵件。儘管如此,Boettcher指,超過63%的數據外洩,背後原因仍跟密碼遭盗用,或密碼過薄弱易被猜中,甚至沿用預設密碼,柀黑客一擊即中。
有關黑客如何通過電郵入侵,再盗取數據,洛歇馬丁(Lockheed Martin)公司就提出了著名的「網絡攻擊鏈」(Cyber Kill Chain),詳細解釋黑客如何從不同途徑,獲得電郵地位,以釣魚郵件向受害人發動攻擊,然後安裝惡意程式宿主系統,惡意程式又連至遠方「指揮及控制伺服器」(C&C),遙控電腦盗取數據,C&C伺服器有時甚至會升級惡意程式,尋找其他系統的漏洞。
精心網站請君入甕
Boettcher舉例,網絡攻擊鏈經常通過電郵攻擊,最典型例子可數活躍於東南亞的網絡犯罪組織PLATINUM。PLATINUM是Microsoft追蹤多年的網絡犯罪組織,外間仍所知不多。PLATINUM集中攻擊南亞和東南亞的政府機構,專門向官員私人郵件地址下手,發出針對官員感興趣的電郵題目,發動「零日」攻擊;手法諳熟,經常逃過各項監察,長期不被察覺。
PLATINUM利用攻擊工具「Dipsind」,針對政府組織、國防、情報、大使館、電信商等。PLATINUM建立針對官員個人興趣的網站,引誘官員訂閱消息,然後展開攻擊,盗取個人身份證明,再潛入政府系統。
特權賬戶重中之重
Boettcher說,超過81%數據外洩,都跟身份遭盗用有關,教育用戶保護憑證,固然是重要一環,保護政府或企業內部的特權賬戶(Privileged Identity),守住第二度防線,以免黑客長驅直進,也是重要一環。
黑客為了取得企業敏感數據,第二步就是入侵特權賬戶,以接觸企業內的其他系統。企業須有效管理特權訪問,可降低遭入襲後損害。現時,不少內部審計的合規要求,已針對特權賬戶的管理;例如Windows系統的特權用戶,包括了Active Directory管理賬戶,登入前必須額外保護。
Boettcher說,減少特權賬戶數目,保護登入過程,以更強隨機密碼保護,實施更嚴密監察特權賬戶登入過程,均可對減低一般用戶遭入侵,特權用戶成為下一個受害對象。
Boettcher也認同,網絡保護知易行難,尤其攻擊數量之多,技巧日趨純熟,已經防不勝防。
企業的困境在資源有限,攻擊卻是無處不在,又須在IT保安預防、偵察和反應等,各方面作出平衡,容易顧此失彼;加上日常偵察威脅的訊息太多,數據量大,須以類似機器學習等先進工具,成本不菲,一般企業不易應付;即使大量投資IT保安後,亦無法保證完全避免遭入侵,所以須改變思維,前題要攻擊者,付上更大成本,更難從中獲利。
IT防禦經濟議題
「故此,IT防禦要調整思維,不能只視之為技術的議題,更從經濟角度考慮。關鍵在於,IT保安工事,能否提高攻擊者成本,以最有效方法,破壞黑客獲利算盤,再難以予取予攜;手段包括截斷入侵的攻擊鏈,使之無法完成「網絡攻擊鏈」得逞,或者盡量縮短受攻擊後,反應和數據的恢復時間。近年,企業投資還原和恢復數據系統,受攻擊後迅速還原,勒索軟件無法取得贖金,勒索軟件變得無利可圖,自動減少。」
最後是減少攻擊向量(Attack Vector),即縮減黑客可用於發動攻擊的手段,例如Office無法執行Script等攻擊,定期更新系統,從Windows XP和7升級到Windows 10,減少系統過時帶來的風險。
Boettcher說,跨國企業有時亦會面對系統風險。Microsoft專業服務團隊曾為一家跨國公司解決入侵,可足為來者參考。
「這家公司有不少附屬企業,各自管理IT系統和負責系統審核,結果分公司受攻擊,通過AD系統連接入侵總公司的系統,後來必須重整架構,避免同樣問題發生。」
IT保安往往不是單純的技術問題,只關注技術,結果掛一漏萬,有時更易被乘虛而入。