工業技術研究院 資訊與通訊研究所 莊耀得
前言
商業組織愈來愈認識到零信任概念的重要性。在計算機科學中,零信任(Zero Trust)是一種安全概念,即為對任何訪問請求都採取預備態度;不相信任何系統或者用戶,無論其在網路內外或是已經進行身份驗證。這種方法的目的是防止網路攻擊、數據洩露和其他安全威脅。這個概念要求組織自動不信任任何東西,無論是在網路邊界內部還是外部,嘗試連接到組織系統的個人需要身份驗證。零信任安全架構的目標是阻止攻擊活動的橫向移動,避免數據洩露。組織必須制定工作流控制策略來建立正常的行為基本原則,並利用現代資訊安全技術來執行這些策略;隨著世界各國政府大力倡導這一理念,現已成為企業遵循之圭臬。
畢馬威(KPGM)近日揭露台灣產業資訊安全危機,技術產業平均損失估計達3,000萬元。這與金融、高科技等50家大型企業的網路防護得分偏低有關,而台灣作為工業4.0浪潮中的全球主要製造中心,進口電子產品、智能製造技術大幅增加。這使得他們容易受到網路攻擊,而在這種情況下,一般安全軟體很難檢測到的APT10攻擊方法。影響的範圍和程度都非常嚴重,給企業和企業的經營命脈造成了巨大的損失和傷害。因此台灣的行業必須採取積極措施,確保採取適當的零信任的政策,以保護其數據和運營遭受攻擊。
「端點應用程式白名單-Artemis 」可確保作業系統在運作時,僅能執行預先允許的應用程式軟體,避免惡意的使用者進行額外的破壞行為,有效降低內部人員誤觸社交工程陷阱,導致其無意中將惡意程式帶入企業/組織所引發之風險。
精彩內容
1. 零信任概念介紹
2. Artemis 端點應用程式白名單技術有效杜絕惡意程式
3. 零信任概念的未來趨勢 |
零信任概念如何降低駭客危害
零信任架構概念利用身份驗證與授權、加密通信、分層結構、雲安全等方法來整合防護,降低駭客帶來的風險。身份驗證要求用戶證明其身份,而授權則授予或拒絕對受保護資源的訪問權限;加密通信確保數據對未授權方不可見;分層結構為創建多個安全邊界;雲安全透過監控使用情況,並根據需要應用額外的限制來提供妥善的保護層;通過使用這些方法,零信任可以幫助防止惡意行為者並降低數據洩露的風險。
零信任架構概念是放棄所有信任基於不斷驗證的原則,減少駭客危害的有效方法。如果公司的內部網被駭客入侵,該策略有助於將可能發生的損害降至最低。它通過建立最低使用規則來做到這一點,確保任何未經授權的訪問都不會產生太多信息。零信任的想法是在 2010 年正式提出的,當時駭客對智慧手機和物聯網等設備構成了威脅。為了防止 DoS 攻擊、路由劫持和其他惡意活動,組織可以實施具有零信任原則的安全雲環境。隨著國際駭客攻擊變得愈來愈普遍,政府和企業必須意識到資訊安全的重要性,以及實施零信任戰略的潛在好處。
零信任人員認證機制
零信任人員認證和授權是基於藉由多種要素組合實現的,例如:
- 多重要素驗證(MFA):通過驗證用戶的身份,例如密碼和手機短信代碼。 新世代的網路識別標準 FIDO(Fast Identity Online)透過公開金鑰加密(Public Key Cryptography)的架構,如圖1所示,進行多重要素驗證以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。
- 訪問控制:對用戶的訪問請求進行限制,以確保僅允許有權限的用戶訪問系統的敏感信息。
- 動態訪問控制:根據用戶的即時行為和環境因素,動態調整訪問控制策略。
- 關鍵資源隔離:將關鍵資源隔離在不同的網路環境中,以防止攻擊者訪問敏感信息。
圖1 FIDO work (資料來源:FIDO Technical Webinar)
這些技術通過結合使用,可以有效保護系統的安全性,並遵循零信任的原則,在所有情況下都對訪問請求採取警惕態度。
資安事件案例,中油與台塑
駭客習慣利用系統漏洞或社交攻擊的手法,伺機埋伏在系統中,等待時機成熟後,再發動總攻擊癱瘓系統。如圖2所示。
2020年5月4號,法務部調查局獲報,中油、台塑內部系統遭不明人士植入勒索病毒,儲存的檔案均無法開啟,營運受到嚴重影響。駭客首先從Web伺服器、員工電腦等途徑,入侵公司系統長期潛伏及探測,而後竊取帳號權限,進入AD伺服器,利用凌晨時段竄改群組派送原則(GPO),同時預埋lc.tmp惡意程式到內部伺服器中,等到員工上班打開電腦後,電腦立即套用遭竄改的GPO,依據指令就會自動將勒索軟體載到記憶體中來執行。最後,檔案加密成功,再顯示勒索訊息及聯絡電子信箱,向企業勒索贖金。瞄準目標、長時間潛伏來鋪陳下一階段攻擊的手法,就是進階持續性威脅(APT)攻擊的類型。
圖2 駭客行為路徑(資料來源 : 泛科學)
如何使用 Artemis 端點應用程式白名單防護避免勒索病毒威脅
惡意程式是一種可以透過各種方式來感染你的電腦,一旦惡意程式被放置在本機端,可以偷取你的個人資料或破壞電腦、竊取個人資料或是擾亂系統運作。如圖3所示。
圖3 惡意程式感染方式
Artemis 端點應用程式白名單利用作業系統機制與hypervisor功能,攔截應用程式執行,並在應用程式執行時檢查程式完整性,可保護網通產品、物聯網裝置、ATM、自駕車系統或高安全層級系統,限制在系統上可執行的應用程式,阻斷未知的惡意程式,提供更完整、更安全的保護。
以零信任概念設計的白名單規則,非允許的執行程式都會被阻擋,如圖3所示,因此落地在使用者端的檔案,無法發動最後的攻擊,有效的在最後防線做阻攔,並且留下軌跡紀錄稽核惡意行為的事件發生。
圖4 Artemis 防護架構
Artemis 軟體掃描全機時(如圖5所示),它會記錄所有現有的應用程式,並將它們列入白名單。一旦白名單建立完成,軟體會自動監控系統,防止其他未經授權的程式運行。這包括惡意程式的軟體,例如病毒、木馬、廣告軟體和間諜軟體等。
Artemis 軟體防護系統在開始運行之前,需先建立白名單列表,一般常見的白名單規則如下:
- 以簽章來當作白名單應用程式的識別
以簽章來識別應用程式是否允許被執行是一個有效的辨識方式,白名單記錄量少系統實作效率也高,唯獨是無法對應用程式作較細微的分類。
- 以特定目錄或特定檔名作為白名單應用程式識別
簡單而有效的應用程式識別手段,然而此方式仍然存在安全問題,任何駭客只要將惡意程式置入或得知特殊命名方式後即可破解。
- 以檔案的雜湊碼(hash value)作為應用程式的識別
Artemis 軟體採用檔案雜湊碼是白名單列表最完整的檢查方式,唯需要花費大量時間完整計算系統內所有應用程式檔案的雜湊碼,並且在任何應用程式執行之前都必需重新計算該應用程式所有使用到的執行檔(exe, dll, bat, …)的雜湊碼,以驗證其是否列於白名單列表內,此方法雖然完整但應用程式執行前的雜湊運算會造成執行延遲,有可能會促使特殊情境應用下的程式無法在時效內正常被執行。因此,Artemis 提供特殊的方式進行白名單列表的防護系統,並實作快取(cache)機制以讓整體白名單防護機制符合實務應用。
圖5 Artemis 自動全機盤點畫面
結論
通過遵循零信任原則,產業可以防止駭客入侵,保護其重要資訊和資產,並確保客戶的隱私和數據安全。因此,零信任原則在任何需要保護數據和系統安全的產業中都具有不可替代的重要性。
對於未來的零信任概念,預計會有以下趨勢:
1. 智能自動化:隨著人工智能和機器學習技術的進展,預計會有更多自動化工具可以更有效地實現零信任原則。
2. 多層保護:未來的零信任概念將不僅僅停留在身份驗證和授權等一級保護,還將擴大到數據加密、網路安全等多層保護。
3. 普及:隨著網路安全意識的提高,預計零信任原則將被廣泛採用,不僅僅限於政府和大型企業,還將在中小企業和個人使用者中得到更多的應用。
4. 更高的安全標準:隨著科技的進步和攻擊手段的變化,預計對零信任概念的安全要求也將更高。
零信任概念的與時俱進提供更高效、更智能和更廣泛地應用在組織或企業,有效確保系統和數據的安全性。
