Recomendados
Más contenido relacionado
Similar a 郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
Similar a 郭憲誌/迎戰駭客攻擊,打造企業資安堡壘 (20)
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
- 2. Agenda • 台灣最近重大的資安威脅事件 • 台灣資安的政策 • 資安威脅的手法 • 企業資安投資的現況 • 如何防禦資安的威脅 • 結論 2
- 3. 台灣最近重大的資安威脅事件 • 2017年資安風暴一波未平一波又起 • 比特幣淪為駭客勒索的工具 損失 時間 206億 2016/11/07 2017/02/07 2017/2/23 2017/05/13 華義遊戲 遭駭客勒 索百萬比 特幣 臺灣券商集 體遭DDoS 攻擊勒索: 累計13家 全臺46所學 校印表機遭 駭客入侵 勒索蠕蟲襲擊 全球150個國 家,臺灣名列 第三重災區 3 8,327萬 2016/07/10 駭客集團暗中駭 入第一銀行的41 臺ATM,從倫敦 遙控22家分行的 41臺ATM
- 5. 政府資安防護法規-A、B 、C級機關納管範圍 ISMS 推動作業 防護縱深 監控管理 安全性檢測 A級機關 全部核心資 訊系統完成 ISMS導入, 並通過第三 方驗證 1.防毒、防火牆、郵件過 濾裝置 2.IDS/IPS、Web 應用程式 防火牆 3.APT攻擊防禦 SOC監控 1.每年至少辦理 2 次 網站安全弱點檢測 2.每年至少辦理 1 次 系統滲透測試 3.每年至少辦理 1 次 資安健診 B級機關 至少2項核心 資訊系統完 成ISMS導入, 並通過第三 方驗證 1.防毒、防火牆、郵件過 濾裝置 2.IDS/IPS 3.Web 應用程式防火牆 SOC監控 1.每年至少辦理 1 次 網站安全弱點檢測 2.每2 年至少辦理 1 次 系統滲透測試 3.每2 年至少辦理 1 次 資安健診 C級機關 自行成立推 動小組規劃 作業 1.防毒 2.防火牆 3.郵件過濾裝置 依各主管機關規定 依各主管機關規定 5 Resource: 政府機關(構)資通安全責任等級分及作業規定 註: ISMS (Information Security Management System) 資訊安全管理制度 IDS (Intrusion Detection System) 入侵偵測系統 , IPS (Intrusion Prevention System) 入侵防禦系統 SOC (Security Operation Center) 資安監控中心, APT (Advance Persistent Threat) 進階持續性威脅
- 6. 台灣資安現況分析 Resource: 國家資通訊安全發展方案 註: CIIP:關鍵資訊基礎建設保護(Critical Information Infrastructure Protection, CIIP) 6
- 7. 資安威脅的手法(I) - DDoS阻斷式攻擊 DDoS 目的 • 政治/報復 • 同業競爭 • 勒索 DDoS 攻擊手法 • 大流量式 (塞爆頻寬) • 多封包式 (癱瘓設備) • 應用層攻擊 (癱瘓WEB/DB) DDoS 成為 新興地下經濟 • DDoS for Hire • 低成本高回報 • 不須有任何技術 背景也可操作 DNS Layer 7 Layer 4 Layer 3 動機 工具 攻擊手法 影響 可能的威脅 • 服務中斷 • 資安設備 by Pass 失去 防護功能 • 設備被入侵 UDP, TCP SMTP SSH,FTP SIP WEB 1 2 3 台灣實例 DDoS攻擊強度 • 最高350 Gbps/秒 • 最多2億PPS/秒 • 單日總量: 2000TB • 最長時間: 2個月的每 個周末 • 持續時間:連續每日 攻擊到1個月 • 常態攻擊行業: 娛樂業、EC • 最近的目標: 金融業、製造業、 通路 7
- 8. 資安威脅的手法(II) - 勒索病毒 • WannaCry : – 於2017年5月開始流行的惡意勒索病毒,利用美國國 家安全局(NSA)的「永恆之藍」(EternalBlue)漏洞 ,透過網際網路對全球Microsoft Windows作業系統 的電腦進行攻擊的加密型勒索病毒。 • Petya: – Pentya入侵電腦後,會修改點腦硬碟中的主要開機磁 區(MBR),並排程工作於一個小時內重新開機,重啟 後,電腦螢幕將直接跳出勒索訊息視窗,無法進行其 他操作。 u 一但遭受勒索病毒感染,將導致電腦無法正常 運作,僅能依賴備份機制還原。 • 全球只有37%的電腦使用者會備份他們 的資料 • 自2016年以來,勒索軟體的搜尋量增加 了877% • 上述業者分析了34款勒索軟體,總計得 手了價值2500萬美元的贖金。 8
- 9. 企業 資訊安全 投資的現況 資料來源:MIC,2016年5月 備註:單位為億元新台幣 Source: 2016年CIO大調查 企業須開始針對新型資安威脅進行預算規劃 9
- 10. 企業應關注的新型資安威脅 • 分散式服務阻斷攻擊 (DDoS) – 利用塞爆頻寬或癱瘓主機,讓網路服務無法運作 – 企業可能損失: 營收、商譽、數位資產、主管機關罰款 、消費者信心 • 勒索病毒 – 將硬碟內重要資料加密,影響企業運作 – 企業可能損失: 企業重要資產、員工工作效率、員工向 心力 10
- 11. 最佳DDoS防禦策略 • 傳統防禦方式 Ø 在自家機房安裝各式資安設備,但仍無 法有效防禦‧ Ø 原因是: 駭客可輕易耗盡設備資源‧ • 新的雲端防禦策略 Ø 將攻擊阻絕在外部網路,而不是在自 家門口‧ Ø 雲端公司擁用比駭客更大的頻寛‧ Ø 不用自已投資最高檔的資安設備或機 房,卻不知何時會遭受攻擊‧ Ø 採用租用雲端服務的方式,將固定資 產投資轉為營業費用,降低風險提高 效益‧ Ø 使用CDN 架構甚至可將服務完全隱藏 起來,讓駭客無從得知來源IP或DNS ‧ Incapsula Network Your Servers Hackers Bots DDoS Spammers Legitimate Traffic WAF Load Balancing Performance DDoS Mitigation 11
- 12. 網站DDoS 防禦的解決方案 針對網站DDoS 防護 • 將網站 CName 至Incapsula即完 成網站加速, WAF及DDoS防護. • 將DNS NS設定到Incapsula即完 成DNS防護‧ 12 12
- 13. 雲端流量清洗服務 Ø 利用BGP路由宣告,提供Class C網段保護‧ Ø 由遠傳提供防護IP網段,客戶自備router做路由宣告及建立通 道‧ Ø Inbound連線走清洗機制,outbound使用一般路由‧ Ø 適用非網站服務的客戶(遊戲、視訊)‧ 13 13
- 14. 14 雲端服務市場趨勢 -共享經濟促成雲端服務蓬勃發展 資料來源:資策會 n Gartner調查, 2019年將有超過30%新導 入軟體為『Cloud Only』. n iThome 2016 CIO調查,過去臺灣企業多 以自建私有雲為上雲端的策略, 但從去年 77.4%降到2016年66.9%。改用混合雲架 構的企業幾乎翻了一倍,從2015年的13.3 %,2016年更已達22.8%。 n OVUM的訪查,多數使用者給予雲端服務 正面評價,成本較低、運作更快速之外,且 將雲端服務視資安為基本要素. • 台灣企業混和雲採用比例 2016 年 採用 雲端 無採 用雲 端 • 全球雲端服務市場規模與趨勢 資料來源:iThome • 台灣雲端服務市場規模與趨勢
- 15. 15 五個雲端特性(NIST)可能的風險 *NIST 美國國家標準與技術研究院 On-Demand Self- service (自主) • 帳號遺失 ? 整個硬體都被掌控 ? • 是否有存取紀錄可供查驗 ? Broad Network Access (隨處) • 端點設備安全考量 (如NB,行動裝置存取) • 網路資訊是否會被側錄? • 網路攻擊 Resource Pooling (共享) • 區域屬地之法規限制 • 與其他使用者隔離的問題 • 資料是否會被竊取?共享?遺失? Rapid Elasticity (彈性) • 停用時資料是否有被刪除 Measure Service (使用者付費) • 蒐集資料之隱私問題
- 16. 16 p 雲端安全聯盟 (CSA, Cloud Security Alliance) 致力於在 雲端運算環境下提供最佳的安全方案 (2009成立) •目前全球超過42,000個獨立會員,200家企業會員,64個分會。 •提供用戶和供應商對雲端運算必要的安全需求與資安認知。 •促進對雲端運算安全最佳做法的獨立研究 。 p STAR = Security, Trust & Assurance Registry p 由雲端安全聯盟CSA(Cloud Security Alliance)和英國標準協會BSI (The British Standards Institution)共同推出 p STAR符合開放式認證框架(Open Certification Framework, OCF),依成熟度分為 三個層級,金、銀、銅,是一個國際標準等級的認證。 p 符合全球常見的資安標準或框架- ISO27001、PCIDSS、HIPPA等。 p 由STAR認證,雲端服務供應商將有能力證明,自身的雲端安全控制措施已依照新 STAR認證成熟度模型被獨立評鑑,合理的贏得客戶信賴。 雲端資安認證機制(1/2)
- 18. 18 雲端服務安全管理特色 -實體安全 ü 建立STAR管理政策規範 ü 鑑別雲端資安內外部議題 及利害關係人之期望 ü 風險評鑑機制 ü 鑑別法令法規標準之要求 ü 高階支持及資源投入 ü 教育訓練 ü 定期會議討論 ü 實施STAR雲端安 全制度 ü 自動化工具輔助 ü 實體安全強化機制 ü 資安防禦縱深 ü 即時監控與分析異 常及事件處理 ü 定期內外部稽核與技術性 檢查(弱點掃瞄/滲透測試) ü 有效性資安指標量測 ü 識別高風險項目 ü 管理階層審查,確認各項 改進均已識別 ü 查核主要供應商 ü 採取矯正措施 ü 利害相關人就各項措 施與改進進行溝通 (如:客戶、合作廠商) ü 識別雲端安全風險各 項改進之有效
- 19. 19 台北雲平台台中雲平台 SOC 使用者密碼控管 SSL 加密防護 Anti-DDoS IPS/IDS 防護 防火牆/資安保全 服務 客戶隔離/VLAN 異常事件分析 雲端服務安全管理特色 -防禦縱深 端點控管 AntiVirus/加密 /VPN Terminal Server two-factor authentication Account/SW Management IPS/PT/Code Review 異常警訊事件分析 首創異地、異質混和雲端運算服務 資 安 防 禦 縱 深 營運持續計畫
- 21. 如何打造企業資安堡壘 事前偵測 ••惡意連線偵測 ••惡意信件偵測 ••惡意程式偵測 ••駭客行為偵測 ••攻擊來源偵測 事發處理 ••事件應變與處理 ••惡意程式分析 ••網路行為分析 ••駭客行為分析 ••損害情形評估 事後矯正 ••資安事件分析 ••損害情況分析 ••復原進度追蹤 ••改善建議與方案 建構資安策略 24小時SOC監控 服務 • 緊急應變救援 • 攻擊手法分析 • 攻擊目標分析 • 損害復原 • 後續追蹤 • 改善預防方案 21
- 22. 成功案例說明 FET雲端運算 Web VMs x10 DB VMs x2 Production DC Active x4 Standby x4 Static Standby x2 Ø 主要服務需求: 應付大選開票突發大 量連線需求及可能的攻 Ø 解決方案:前端使用CDN承載大量 用戶端流量或攻擊, 後台使用雲端主 機動態分散運算. DNS Query 計票系統 DB Data Replication 10M專線 MSSQL DB x2 電視台機房 遠傳台北雲端機房資料來源 FW(頻寬: 800M Session: 600,000, IPS 功能) 22
- 23. 成功案例說明 Ø 主要問題: 某媒體視訊主機連續多日遭到130G以上的攻擊,導致無法服務。 Ø 解決方案:利用雲端流量清洗服務將流量分散至各地IDC同時進行清洗後成功防禦。 23
- 24. 結論 • 近期資安趨勢與案例顯示,進階持續性威脅、勒索軟體、 分散式阻斷服務攻擊(DDoS)及密碼猜測取得控制權等情 形層出不窮,建議強化人員資安防護意識與資訊系統防護 能量‧ • DDoS攻擊防禦與應變,須透過事前完善的準備作業,始 能快速、有效的減少攻擊事件造成的影響‧ • 透過企業IT運作雲端化,藉由專業的雲端服務提升企業經 營效率並強化資安能量,已成為未來趨勢‧ 24