新科技速遞
近年網絡攻擊趨勢,每當有長假期,潛伏網絡的病毒爆發,原因黑客覷凖假期缺忽人手,攻擊更易得手,而近期Apache Log4j弱點暴露,更窮於應付和逐一修補,遭攻擊更只是遲早問題。
隨著疫情的擴散,仍採用傳統VPN,未及升級「零信任」的企業,由於在家工作建立了大量遠程連接,暴露的攻擊面更加大。
近期受攻擊企業,有些甚具規模,也不乏上市公司,甚至有自設保安隊伍,而9成以上攻擊,保安系統沒發出警報,傳統的系統集只偵察惡意程式,但近7成攻擊,已不再透過惡意程式,有時甚至靠系統的內建工具,就輕而易舉避開保安機制。
保安機制聊勝於無
企業耗用了大量人力建立「安全資訊及事故管理」(SIEM),試圖蒐集大量的數據,以偵察攻擊的蛛絲馬跡。不過,SIEM平均4成半警報屬於誤鳴;更諷刺的是,不少攻擊曾被發現,礙於資訊太多被忽略。
近年,Gartner建議以「零信任網絡存取」(Zero Trust Network Access)安全模式化解風險,逐漸為企業採納作連接模式,原因是零信任可減少攻擊面,以Zscaler雲端防火牆為例,用戶通過部署雲端的上網和存取企業資源,例如是SaaS或網絡內應用。
雲端防火牆的ZTNA較VPN或SSL-VPN安全,以Zscaler雲端防火牆Zscaler Zero Trust Exchange為例,零信任有幾個優點;以往黑客攻破某位用戶終端,就可經過VPN長驅直進企業網絡,在內聯網橫向尋找目標。
所以,愈多VPN接入網絡,可導致攻擊面擴大,零信任理念下用戶授權,則僅足以連結某一應用,通訊細節巨細無遺,黑客即使成功登入,活動也一覽無遺,也無從接觸其他資源,大幅縮小攻擊面。
零信用擴展保安
其次,以VPN去執行SaaS應用,特別是Team一類視像的會議,因為接駁過於複雜,應用效果大打折扣。疫情下的居家工作,不少企業發現即使加大了頻寬,VPN也難以規模化部署;類似Zscaler則可讓用戶直連應用,雲端防火牆部署在全球的數據中心內,不少與公有雲共處,採用Microsoft 365等的SaaS,以零信任接駁才不導致樽頸問題。
即使以零信任作防禦架構,也不能完全杜絕黑客攻入。Zscaler則在零信任上,再加入了「誘敵式保安」(Deception Security)架構,在網絡內廣佈了「誘餌」(Decoys),一旦黑客透過雲端的防火牆登入,又再企圖橫向接觸其他設備;也就是「誘餌」,基於零信任架構只供連接單一應用,企圖橫向探路的「用戶」,肯定是黑客無疑。
Zscaler的「誘餌」,可選擇雲端或內聯網上佈置,黑客即使闖入,只見四周誘餌;包括偽造的用戶終端、檔案夾、數據庫、用戶電腦、仿如真實運算環境,到了懷疑正攻擊機器是否誘餌,行藏早已敗露,保安人員幾乎肯定,網絡正受到入侵。
揭發多宗攻擊
「誘敵式保安」也比沙盒(Sandbox)設備,更有效揪出惡意程式和勒索軟件,因為沙盒只分析檔案內容,卻不可能辨認所有的惡意程式,加上病毒可化整為零逃逸沙盒,令捕獲率也愈來愈低。
傳統的保安工具和架構;從防火牆、入侵偵察/防護等工具、弱點防護以至沙盒,都只是築起銅牆鐵壁,以圖黑客更難進入,一旦遭攻破就失去作用,而「誘敵式保安」則誘敵深入,再馬上截停,不佔太多資源之餘,也肯定不產生誤鳴,幾乎百發百中。
Zscaler網頁公佈以誘敵式保安,揭發了多宗極為隱秘的黑客攻擊;包括北韓攻擊一家全球性企業,黑客因為掃描一部「誘餌」的SMB埠,揭發用戶戶口遭黑客騎刦,再發現網絡內已植入的惡意DDL檔,毋須SIEM介入,已化解了攻擊。