因應威脅快速變化 持續提升資安免疫力
有別於傳統攻防訓練的昂貴費用,加上駭客攻擊手法變化快速。盧氪賽忒透過如疫苗般的入侵與攻擊演練平台 -「ArgusHack」,與如健康教練般的專業資安團隊-「H1DRA Security」,為客戶注入更多資安免疫力,以有效面對如傳染病的資安威脅。
採訪/施鑫澤‧文/林裕洋
現代的資安威脅事件遍及全球,如何做好資安體系的第一步?
盧氪賽忒執行長沈家生說到:「一般而言,一個完整且謹慎的資安建設團隊,常會透過弱點掃描、滲透測試來驗證資安體系與建設,每年更會進行 1 – 2 次的紅隊演練,這樣的團隊已經有前段班的表現水準了。然而,現實面告訴我們,這其中仍然有駭客可入侵的空窗期。舉例來說,紅隊演練確實成效良好,但不可忽略的是時程較長的演練週期,畢竟駭客可不會等你準好才進攻。而入侵與攻擊演練平台就是一種適合的解決方案,其目的不在於搶走紅隊演練的風采,而是達到相輔相成,提供對團隊更妥當的資安驗證與演練流程。」
盧氪賽忒作為台灣少數受曾總統特別參訪,且唯一刊載於軍事雜誌的「次世代入侵與攻擊演練平台(BAS)」之國產廠商。其產品「ArgusHack」概念如同即時戰略遊戲般。透過重現一場場「真實」與「即時」的駭客戰役,直接驗證資安體系的健全與否。作為資安演練的作戰指揮所,不僅完整收錄作戰記錄,更可萃取其中精華,成為未來資安攻擊演練策略的基石;作為紫隊或紅隊團隊共享的網路軍火庫,自由修改與納入各類駭客工具與漏洞利用程式,最終完成屬於企業的專屬攻擊演練劇本。
真實的戰役體驗有效提升資安免疫力
當我們面對駭客時,是擁有靈活大腦的「人」搭配不休不眠的「機器」,如果只是被動式的防禦,這道城牆有天終究會被鑿開。基本功都做好後,進階的做法是去揣摩駭客的攻擊思維。而主動式的參與,似乎也是資安團隊必須趕上的潮流。
沈家生建議:「面對無窮無盡的資安威脅,可透過注射疫苗的概念獲得抗體,不僅減少暴露在威脅下,當更強勁的攻擊侵襲時,也能避免重大風險。而在資安防護措施中,我們可以透過入侵與攻擊演練平台達成疫苗般的效果。我們觀察到許多企業雖然投入大量經費在資安建設上,卻只依賴演練週期較長的第三方演練,去驗證整體資安架構的有效性。部分公司甚至會因為沒足夠預算執行第三方演練,以至無法在爆發資安事件當下,採取最適當的回應策略。在我們協助處理的各種案例中,曾發現有客戶已部署大量資安產品,卻因網路設備的問題,導致資安設備無法發揮預期效用,最終讓公司陷入嚴重資安威脅之中。」
[ 2022年度CIO大調查報告下載 ]
而對於資安體系的健全與否,最能直接驗證的方式,就是發動一場真實的駭客攻擊。針對已知的駭客組織攻擊手法進行演練,資安建設的問題將一目了然,人員更能從演練中汲取駭客攻擊思維。並將每次的攻擊結果結合 MITRE ATT&CK 或 MITRE D3FEND 等資安框架,作為有效的資安策略改善與投資依據,對於資安上的建設、人員和投資面向皆可獲得相當大的幫助。
沈家生進一步強調:「真實的戰役,是最能直接驗證資安團隊的健全與否。透過不斷重演的戰役,檢驗當前資安設備、加強資安團隊應變措施、提升人員對資安體系的純熟掌握,並培訓千錘百鍊的資安戰隊。」
要想攻略駭客那就先將自己變成駭客
作為資安團隊,除了資安體系的建立外,還需各類攻擊演練協助其驗證成效,不論是弱點掃描、滲透測試、紅隊演練或入侵與攻擊演練,透過落實週期性的驗證,才能確保團隊走在安全的路上。
沈家生提到:「資安體系的完善涵蓋許多面向,除了管理與稽核的角度外,專業的資安技術顧問將能如同健身教練般,為企業資安團隊導入駭客攻擊思維,建立多維的資安威脅認知能力。」
盧氪賽忒的團隊「H1DRA Security」屢次於國內「資安漏洞與攻防競賽」中獲得冠軍,除具備深厚的技術能量,並擁有於金融業、製造業、高科技業、電商產業與國外大型企業平台等豐富資安服務經驗,確保其能擔當專業的資安教練團隊。其亦提供導師式的課程,透過中、長時程的扎實訓練,期望不論是資安意識、設備掌握或應變能力等方面皆能為企業注入更多知識量能,帶來全方位的資安戰力提升。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
沈家生補充:「比起駭客,一步一步築起資安體系的資安團隊,才是這座資安堡壘的霸主。資安的完善是需要經過不斷的反思與驗證。除了演練過往經典資安攻擊累積經驗外,透過收納委外滲透測試與紅隊演練中所使用的攻擊手法也是個好方向。於未來不只能重複進行演練,更能同時降低專案中複測的人力成本。而若能針對各種可能面臨的威脅設計劇本,納入各類駭客工具與漏洞利用程式隨時進行測試將更能進一步強化資安。」
盧氪賽忒的入侵與攻擊演練平台(BAS)除具備「真實」與「即時」的特性外,資安團隊更可於平台上設計攻擊演練劇本,將它視為一張白紙,你可以在上面自由想像,針對可能面臨的威脅設計劇本,除了內建的滲透工具外,亦可自由修改、納入各類駭客工具與漏洞利用程式。執行之攻擊演練劇本,將可完整被紀錄下來。並透過自動化攻擊重放功能,於多次複測中不斷校正,最終完成屬於企業的專屬劇本。
資安人才應從攻防演練中培養
沈家生表示,台灣資訊安全協會(Taiwan Information Security Association, TWISA)成立之後,可向政府提出相關建言與需求,特別是在目前大力推動發展資安產業的趨勢下,相關政策、措施也可較符合我們需求。
尤其在資安人才培訓上,由於全球陷入資安人才不足的困境,企業愈來愈重視自行培養資安人員的工作,也開始逐步引進攻防訓練工作。為此,盧氪賽忒建議上路超過三年的資安法,應該要因應市場趨勢與需求,加入與資安團隊實際攻防訓練有關的規範。讓資安人員不斷在企業真實環境攻防演練中學習,了解攻擊方思維、熟悉與驗證既有資安防禦建設與體系,並藉此進一步改善現有資安體系與相關措施,逐步具備因應新型挑戰的能力,藉此達到保護企業商譽與數位資產的安全。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
