【資安防護線 09】知己知彼,百戰不殆 Breaking the attack chain

大家好,歡迎搭乘資安列車我叫Kyle來自Cybersecurity Solutions Group那我今天要講的主題是知己知彼百戰不殆經過最新的調查顯示網絡犯罪所造成的經濟規模事實上是1.5兆美金的全球規模大家可能覺得1.5兆不知道是什麼概念1.5兆假如這個是一個國家的話這等同於是俄羅斯一整年的GDP增長率也是全球第13大的GDP成長率讓我們來看看台灣台灣一年因為網絡犯罪所造成的損失是8100億台幣也佔了我們GDP的5%所以我們現在看到的經濟規模以及網絡犯罪事實上是整個企業化在經營是要以投報率的角度來看所以在這麼大的網絡犯罪經濟底下事實上網絡犯罪已經是契約化在經營的那我們要以投報率的角度來看也就是說身為防守方我們要讓駭客的生意越來越困難我們要讓他的投報率越來越低讓他每一次的攻擊所耗費的資源越來越高以及成功率越來越低接下來我們來看比較完整的一個供給鏈那這個供給鏈事實上每一個階段是在每一個攻擊內都會發生像是最初的攻佔通常是從釣魚郵件開始然後接着都走你的帳號用你的帳號在內網做橫向移動找出可疑的目標然後偷走你的資料那知道這個攻擊鏈可以讓我們有一點點優勢就是我們知道這件事情一定會發生我們可以去打破這些攻擊鏈讓每一次的攻擊成本更高、難度更高並且增加我們發現這些可疑事件的機會現在我來介紹三種最常見的攻擊手法以及我們的反制方式第一個是我們剛剛所提到的釣魚郵件第二個是行動裝置的中毒第三個是釣魚網站首先身為駭客的第一個目標就是讓釣魚郵件進入你的內網他會花很多時間做功課,設計一個可信度很高的Email這可能是一個全新的惡意軟件或者是全新的惡意連結所以防毒軟件並不會知道駭客的目標就是只要組織內有任何一個人不小心點擊他精心設計的Email就中標了我們的應對方式是Office 365
ATP基本上我們會把你clint端打開的Email拿到我們雲端上開啟我們會打開所有的附件檢查所有的URL決定這是不是安全的攻擊鏈的下一個階段就是盜取帳號我們投資了大量的資源重新設計Win 10來徹底解決像是pass the hash
attackguarantee attack或是selfity attack等盜帳號的手法同時在Win 10上又有一項全新的技術叫WATP這是一個以雲端為主體並且搭配機器學習的EDR系統這包含事前防禦、事後偵查以及自動修復最重要的是這些不同的服務會在雲端互相溝通所以當你看到一個全新的攻擊從Email啟動我們可以看到endpoint端有沒有被攻擊的跡象如果在endpoint端被攻擊你可以把時間回溯來看Email端是否發生什麼事情那駭客的下一步就是內網的橫向移動我們的第三個防禦叫Azure
ATP這是一個異常行為偵測系統它會像是你從來沒有在週末登入過的帳號突然登入或者是突然登入一個從來沒有登入過的財務系統或者人資系統同時這三個服務會透過雲端互相溝通如果一個特權帳號有異常行為我們可以返回去搜尋哪個PC有問題是否有同樣的攻擊發生在其他的PC上如果是從Email進來的可以查看是不是有其他人收到一樣的Email然後從他的Email信箱內把這個mail刪除接下來駭客的最後一步是偷取資料我們使用AIP在整個資料的生命週期都加密保護就算資料從USB或從Email外洩也沒關係因為我們不管資料在哪裏它都要連回來雲端做認證只有授權的人才能打開檔案那接下來是第二個常見的攻擊手法來自於行動裝置端你的手機、平板或是PC中毒然後駭客開始從雲端上傳資料我們的存取條件是可以查看行動裝置的風險狀態如果風險越高越有可能跳出多因素驗證甚至直接拒絕你的存取當你把資料上傳雲端的話Cloud APP Security會監控你的網絡流量有多少資料在上傳跟下載這些APP有多少風險你可以決定在公司內部使用這些APP到底適不適當最後一個常見的攻擊手法是通過釣魚網站偷走你的帳號密碼我們用SmartScreen的技術阻止你進入高風險的網站另外在edge的瀏覽器上有一個叫Application guard的功能如果你去一個你不信任的網站,你可以開啓一個獨立的VMtemp任何在那VM所發生的事情都沒有辦法擴散到外面你可以按任何你想要按的東西只要關掉temp這就會全部的消失那透過以上的攻擊鏈介紹相信各位已經有點概念微軟是怎麼投資相關技術在相對應的攻擊之上所以基本上我們已經去瞭解絕大多數的攻擊行為以及反制方式那最重要的是這些資安已經建立在你現在有的產品上像是Office像是Windows等等所以你不需要改變現有的架構也不需要裝Azure也不用去管理很多不同廠商的一個一個工具所以這並不影響你原本的生產力那更重要的是這些不同的資安Solution會通過雲端互相溝通所以不論在這個世界上哪一個地方所發生的攻擊事件都會及時的反映並且防護到你現有的環境內好那如果各位想要瞭解更多的話請點以下連結那我今天的介紹就到這邊資安列車我們下一站見,謝謝大家