為了提升整體產業的安全整備度與事件回應能力,瑞銀與同業共同發起了一項網路攻擊演練。
文/Dan Swinhoe 譯/葉庭筠
對負責防禦網路攻擊的IT經理來說,網路犯罪的速度已經快得令人憂心。駭客可以在漏洞被揭露幾天內就對它發動攻擊,而且成功的攻擊程式和手段在犯罪圈內可以快速傳播開來。
企業必須和同業們共享交流安全情資才能更有效防禦,並且迅速適應變化多端的網路威脅。為了加速協同與共享安全最佳實作,瑞銀證券(UBS)與金融服務資訊共享與分析中心(Financial Services Information Sharing and Analysis Center, FS-ISAC)合作,邀集全歐洲的金融與銀行同業參與一系列網路攻擊演練。
與同業聯手,提升事件回應能力
瑞銀證券是一家總部位於瑞士的跨國投資銀行和金融服務業者,擁有6萬多名員工,管理全球客戶總值超過9,500億美元的資產。創立於2017年的UBS企業服務(Business Solution, BS)是一家提供企業後端服務(包括IT、營運、交易系統、法務服務、人力資源與行銷服務)的獨立公司,目的在確保UBS在發生任何重大金融危機後關鍵服務仍能運作不墜。
作為 UBS BS資安長和網路測試部的主管,Carlo Hopstaken 的任務是測試不同系統的運作強度,以及負責UBS系統安全的團隊回應能力。他也需確保UBS符合金融業的測試框架,像是英國的CBEST、香港的iCAST及歐盟的Tiber等。
為了進一步測試團隊能力及促進公司和其他同業的知識交流,Hopstaken進行了UBS與 FS-ISAC 在2019年2月聯合舉行了一場網路攻擊演練。
這場演練主要是保衛虛擬網路,為的是模擬金融服務業面臨如同WannaCry的勒索軟體攻擊情形。負責演練的紅隊發動聯合攻擊,讓防守的藍隊全面備戰。這讓Hopstaken有機會測試其公司的防衛對策,並了解其他公司在類似情況下會怎麼反應。
「我認為可以觀摩不同分析師如何互動是很好的機會,我們很喜歡和其他公司代表一起工作,還能對協同與資訊分享如何影響參與者取得第一手認識。」
除了USB及14家歐洲金融服務及公會組織,還有多家零售與投資金銀、資產與財富管理及金融機構也參與了這場活動。FS-ISAC 全球企業服務部門總監 Ray Irving 說:「參與這種產業群體活動的好處之一是團結力量大,」不同單位就會有不同的強項和知識,整合起來力量就很大。大家可以從彼此的最佳實作分享中獲得寶貴經驗,把大家各別知道,以及各別有的東西集合起來,就能比各自單打獨鬥力量大得多。」
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
安全情資共享對企業助益良多
攻擊演練只是UBS推動安全知識共享和協同的一環而已。Hopstaken說,「我們分享了大量威脅情資,但也聊了許多我們在防護和偵測方面怎麼建構防衛。如果你分享威脅情資,你也會獲得網路罪犯使用的各種技倆,以便強化自己的防衛能力。」
「我們針對特定主題做簡報,我們的SOC也回饋了威脅情資。我用這些和同業交換大家怎麼個做法,了解最新安全趨勢以及新興的威脅。我認為這類同業交流真的很有幫助,」Hopstaken說。
除了攻擊指標或駭客與漏洞的資訊,Irving說,FS-ISAC 會員還會分享安全策略,以及企業間正在推動或計畫推動的安全計畫。「分享內容不一定得是你遭遇到的安全事件或威脅,也可以是你做的事,不管是成功或不成功的,如果他人正在對抗駭客,這些就十分有幫助,」他說。
資訊共享好處太多了。安全廠商Experian與Ponemon一項共同研究《資料外洩整備度》發現,51%的公司已經或計畫參加資訊共享計畫。受訪公司指出,最大的好處是合作更密切、安全整備度提升,以及事件回應速度更快。
研究還發現,已經或計畫參與的公司過去12個月的資料外洩發生率也小於不想或沒有計畫參與任何共享計畫的企業。
安全情資共享的成本效益
研究還顯示,欠缺資訊及參加成本是企業不參加安全情資共享的主因之一。但Accenture與Ponemon最新一項研究指出,參與共享其實有著金錢上的好處。
「企業開始共聚一堂,商討如何共享某些情資,」Accenture UKI策略部門總監 Nick Taylor 說。「我們發現零售業、小型銀行、製造業和部份製藥業開始籌組共享資訊的非正式網路,或同業間分享情資,希望更了解威脅趨勢。」
「資安長(CSO)們說打個電話和同業多聊聊他們最近看到了什麼威脅有很多好處,安全專業人員現在也體會到互相合作、互相幫忙比自己埋著頭幹好處多太多了。」
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
在安全上沒有人相互競爭的
Experian研究發現,企業對資訊共享的另一大障礙是擔心有法律責任或壟斷問題。「我們會在乎其他銀行沒有被駭,因為這可能關係到我們。」Hopstaken說。「大家都在對抗同樣的威脅,少了某項情資將不利於競爭力。」
但是,研究雖然發現將近半數企業怎麼樣都不分享情資,也有不少公司不喜歡加入太大的社群。「大部份企業對資安最佳實作其實都藏了一手,尤其是對同一產業的公司或競爭者,」Experian Data Breach Resolution集團副總裁Michael Bruemmer說。「這點很可惜,因為有很多實戰經驗在裏面,共享才能大家都贏。」
Bruemmer補充,唯一能讓企業改變對資訊共享立場的方法,通常是CSO甘冒公司政策之大忌勇敢和同業分享交流,在顧忌競爭的公司主管面前說明和對手往來也是利大於弊。
「安全專業人員知道他們無法全部自己來,但不幸的是,決策的人卻身不由己,」Bruemmer說。「業界常見狀況是問題源自於董事會或CXO層級。我從沒見過有哪個CEO是自己發動,總是需要有下面的人來說服他,因為安全部門的人希望能打破現有規定而犯顏進諫。」
情資共享,特別是關於攻擊的情資,不需要企業公布任何敏感資訊。一個安全事件通常可以只簡化為攻擊指標、惡意程式樣本或如何打破「狙殺鏈」(kill chain)的一些建議即可,完全不觸及公司隱私資訊。
「分享安全情資不必鉅細靡遺給人看光光,」FS-ISAC的Irving說。「你不必報告公司做什麼的或是公司的強項、弱點在哪,只要告訴大家有另一類攻擊,然後怎麼消滅或阻止它即可。」
「如果企業不知該不該分享,」Irving補充,「最簡單的做法是只說明相關而有用的基本資訊,就不會過份曝露貴公司的運作機密。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)