• 及早防?#21152;?#26410;然,国家资安防护范围以ISP网络为前线

    2018-12-19 16:33

    导读: 面临来势汹汹的网络攻击,新加坡建立了区域性的资安联防,统合了ISP网络、企业网络,以及端点电脑层面的威胁情?#21183;?#21488;,建置该系统的安信资讯安全(EnsignInfoSecurity)集团执行副总裁林有立便以此为题,在HITCONPacific2018说明这套系统的重要性。
    图片来源: 

    周峻佑摄

    来自他国的国家级骇客攻击,已是各国必须正视的主要威胁之一,而想要及早防范,新加坡安信资讯安全(Ensign InfoSecurity)集团执行副总裁林有立认为,以往各家资安业者可能针对所专精的领域,提供防护措施,但站在国家资安防御的角度,以他们为新加坡政府建置相关情资系统的经验来看,则需要从网络服务业者(ISP)提供的网络,到端点电脑之间,进行多层次的统合,才能达成综效。因此,他在HITCON Pacific 2018里,以该公司协助新加坡政府建立的威胁情资系统为题,进行演说。

    林有立强调,侦测攻击行为与防守同等重要,因此新加坡政府建置这个威胁情?#21183;?#21488;,最重要的功能诉求之一,就是要及早发现入侵行为,才能在灾害发生之前先行拦截,避免造成严重的损失。

    由于相较恐怖攻击行动,发动网络攻击不仅成本相对低廉,而且也难被追踪到真正的来源,同时,还能借此收集到其他国家的情报,因此,这种型态的攻击?#24405;欢?#21457;生。这种型态的侵略方式,往往?#19981;?#38145;定受害国家重要的基础设施,致使面临国家安全问题,早在2013年时,时任美国国家情报总监的James Clapper便表示,网络攻击对该国所带来的威胁,远超过恐怖攻击。因此,包含台湾在内的许多国家,近年来都着手加以防范资安攻击。林有立强调,大家不能抱持着侥幸的心态看待网络攻击,因为不只是可能会发生,而是随时随地?#21152;?#26426;会,出现在你我的单位里。

    而在这个国家等级的威胁情?#21183;?#21488;里,网络层的系统是由安信资讯自行打造,而端点防护的部分,则是采用了我国业者奥义智慧(CyCarrier)的解决方案。林有立也指出他们?#23548;?#25191;行的经验,在勒索软件WannaCry爆发,以及川金会(Trump Kim summit)遭受俄国攻击时,?#21363;?#21040;了能?#24739;?#26089;得知攻击情报的目的。

    拦截网络攻击,首重骇客登陆的前72小时

    想要防范这种攻击,林有立指出,由于骇客需要掩人耳目,避免很快被受害者发现异常,导致受到封锁而造成行动失败,因此,骇客并不会一开始入侵就动手攻击。对于防守者而言,若是当出现这种入侵征?#36164;保?#20104;以拦截,就能避免攻击?#24405;?#30340;发生。

    那么,多少时间之内是能够在骇客进行活动以前,阻止攻击?#24405;?#30340;?#24179;?#26102;间呢?林有立说,一般而言,72小时之内,骇客处于初步成功渗透的状态,并且正在探查周遭的环?#24120;?#20551;如我们找出这种刚潜伏不久的威胁,便能先发制人,避免可能出现的攻击?#24405;?#19982;损害。

    随着骇客渗透的时间愈长,他们造成的威胁或是灾害,也随之增加。若是埋伏一个星期才被发现,这段期间中,骇客会进行横向移动,假如他们潜藏了一个月,就会开始窃取重要资料。因此,要是受到攻击的国家能在上述期间内,就掌握这种疑似攻击的迹象,便成为杜绝网络威胁的关键。

    找出骇客攻击行为,必须统整多层面威胁情资

    新加坡政府为了要找出前述骇?#32479;?#26399;潜入的征兆,委由安信资讯建置相关的防范系统,而该公司结合3种层面的资料分析,包含的范围从端点和企业的网络,扩及ISP流量检测,林有立指出,由于网络与端点能够收集到的异常行为有所不同,因此,统合这些层面的情资,方能涵盖较为全面的?#24405;?#26679;貌。

    如果将攻击流程区分为6个阶段--从骇?#32479;?#27493;的侦察、传送攻击工具、然后进行入侵,与植入恶意软件,再从远端取得控制及连结,最终取得想要的机密。其中,政府如果想要?#19994;?#39559;客伺机而动的侦察行为,必须从网络流量的资料下手,而攻击者在端点电脑植入作案工具时,则要从端点电脑的?#24405;?#35760;录?#24050;?#34523;丝马迹,至于其余4个攻击阶段,虽然网络流量和端点电脑的?#24405;?#35760;录里,都能提供相关的证据,但由于收集的来源不同,呈现的攻击样貌也有所差异,因此,政府?#26412;?#24819;要分析出较为准确的结果,势必不能只依赖网络或是端点电脑层面的情资。

    值得留意的是,安信资讯在进行规划时,将网络服务商提供的网络。列为最前端的第一道防线,该公司的系统借由大数据分析,即时分析ISP网络进出的流量,并收集其中的Metadata进行分析,一旦出现与恶意主机连线的现象,以及特定弱点带来的网络埠流量,该系统便可以此产生有关情资与入侵?#21103;輳↖OC)档案,供企业及早因应。

    林有立指出,2017年5月出现的WannaCry勒索软件攻击,该系统在大爆发的2个星期之前,便从ISP网络流?#24656;校?#21457;现到通过445埠的流量极为不寻常,判断骇客正在进行探测的行为,因此便通知新加坡国内的企业,尽快封锁这个连接埠,以便预防这一波勒索软件的攻击。

    而从他们建置的威胁情?#21183;?#21488;中,今年6月12日于北朝?#31034;?#34892;的川金会时,也发现来自俄罗斯的攻击流?#23458;?#28982;爆增,而且几乎整天都在大量发动攻击。林有立说,这样的攻击透过监听5060埠与5038埠,主要的目的就是想要掌控记者与电视台之间的通讯,进而窃听记者报?#21363;?#37329;会的内容。

    再者,这个平台的应用,还包含了识别骇客在僵尸网络里,以相同IP地?#33539;?#24212;多个网域(IP Fast-Flux),或是使用动态网域算法(Domain Generation Algorithm)的情形。

    福建36选7开奖公告
  • 丧尸来袭手机在线播放 玉皇大帝姓什么 热血羽毛球下载 能破解pp电子游戏的挂 歌剧魅影电子游艺 中彩网3d走势图 20选5开奖号码走势图 腾讯fifa手游官网 公牛vs骑士 聚宝盆在线客服