烏龜。兔子。企業資安斷點

【龜兔賽局的故事】

在寫這篇”AI時代，駭客組織與企業資安斷點的龜兔賽局”的內容前，我一直在想要用怎麼樣的方式來寫會比較容易讓企業有感又容易看懂目前自身的處境與風險，剛好最近剛上小學一年級的兒子都會叫我”為愛朗讀”，我發現小恐龍、小妖怪之類或是寓言故事的情節總是較能讓他理解與感興趣，所以我決定藉由【龜兔賽跑的故事】來聊聊資安過去、現在與未來……

你家裡的個人電腦是不是也很久沒有中毒導致當機了呢?  答案可能都是: 好像快要忘了它的存在……，因為時代技術與產業趨勢在變，感染破壞型的病毒已轉變為資料竊取、加密或勒索新型態，所以20年前你遇到的駭客也絶對跟現在遇到的駭客截然不同；因為本文主要是以企業客群為主，我們就著重於企業資安的議題進行闡述，當然若是你的自有行動裝置 (BYOD:Bring Your Own Device)同時又要兼顧公司商務使用，那麼你也是必須要關注的群體之一，而且不只是資安防護，也包含個人私隱存取的防護。

假設我們把企業比喻成烏龜，把駭客比喻為兔子，故事應該是這樣開始的……

從前有個勤奮的烏龜，雖然爬的慢，即便兔子經常登門挑釁，要求來場跑步賽，但終究也是想炫技，製造一些混亂而已(早期的駭客大致如此)，但一直以來龜兔賽跑的故事最終還是烏龜贏得了勝利，過去企業的資安防護狀況不也就是如此嗎? 電腦中毒了花點時間還是可以搞定的。

但時代演進，有一天外面來了一隻壞心的野兔子(新型態駭客)，沒有跑到一半會放鬆去睡大頭覺的習慣，不只愛炫技，更覬覦你的財富，喜歡到處破壞(加密、資料低階格式化)，還會偷偷竊取烏龜心愛的東西(公司機敏資料)，回過頭來勒索烏龜付錢贖回心愛的東西，沒多久，其他野兔子有樣學樣，拉黨結派成為一個犯罪組織，而互相合作打群架(RaaS產業下各駭客組織技術合作)，進而成就了一個犯罪產業鏈(RaaS產業駭客組織)，他們都使用了最新的技術(AI惡意軟體)與手法(竊取資料進行勒索)，最終讓烏龜家遭受了不少損失，也讓烏龜無法專注於工作，經常提心吊膽的，客戶訂單及公司營收當然也受到了影響。

古有言:「工欲善其事，必先利其器!」我們試想，難道這時候兔子前來挑釁時，烏龜不想加速向前逃跑嗎? 答案是: 當然想；但是僅靠著牠舊有的跑步方式(資安防禦架構及工具)與速度(資安反應速度)當然永遠也跑不過兔子囉! 過往企業面對傳統病毒(已知威脅)的駭客攻擊，藉由防毒軟體即可阻擋，但現今新型態的龜兔賽局，全球不同地域的RaaS產業鏈駭客，專業組織分工，前仆後繼、持續不斷的，以最新的AI自定義惡意程式、躲避繞道技術、高強度加密技術工具對企業進行攻擊勒索行為，就猶如烏龜慢步爬行的資安防禦機制早已阻擋不了新型態的駭客組織攻擊(台灣就曾發生一家企業在短期內遭受二個不同駭客組織攻擊勒索的案例)，企業必須放下舊有包袱改以全新跳躍式的戰略模式才能超前佈署(就如任天堂瑪利歐遊戲中的庫巴一樣，變成飛龜)，凌駕於壞兔子之上，在攻擊之前主動預防及防禦。

為了協助烏龜家能夠建立有效的禦敵戰略，我們建議可執行以下步驟

第一步  知己知彼 - 檢視企業資安現有架構確立主要資安斷點

面對新型態的駭客攻擊，企業首要之務就是依自身可承受的資安風險進行主要斷點的檢視與評估，先正視企業目前資安現況，再找出防禦弱點進行強化或是調整架構重新規劃。

<<資安防禦架構一: 防火牆  +  防毒軟體

此架構面對目前近8成未知威脅的駭客攻擊時，易遭受駭客長驅直入，可能導致極大系統損害，因為單薄的資安防禦架構，一攻即破，最後就只能仰賴備份資料之復原程序，較適合對資安事件承受度高或是資訊化程度較低之企業採用。

<<資安防禦架構二: 防火牆 + 防毒軟體  + EDR/MDR

此架構在數年前當駭客組織勒索病毒尚未蓬勃發展，AI技術尚未廣泛應用之前，確實EDR/MDR方案發揮了其檢測與回應的功效，但其畢竟是一種被動以執行後為中心的解決方案，主要功能在於當惡意程式被執行發現異常時，端點再將原始檔案上傳至監控中心由資安人員進行檢測及回應，此架構的關鍵問題在於若端點處於離線作業或是維運檢測人員經驗與能力不足，往往在關鍵的幾分鐘或幾小時延宕中，駭客即已進行資料竊取與加密破壞，尤其在現今AI當道的世代，惡意軟體透過AI技術自定義未知的威脅，駭客透過大量的變化攻擊 ，就可以造成EDR鈴聲大作，資安人員面對警鈴疲於奔命、誤報率急速攀升，駭客最後以迅雷不及掩耳的速度達到了他的目的。

從以上所舉的二種傳統資安架構若與現今新型態的駭客攻擊模式相呼應後，不難發現其主要資安斷點都是位於企業內部網路環境中，也就是說威脅早已進入到企業網路中，只要駭客一發動攻擊，企業不容易不受影響，這也是我們觀察到2023-2024年的眾多重大資安事件中，即便企業已建置了EDR/MDR/XDR系統，依然不能免於受駭客影響的原因。

第二步  化被動為主動 – 從實際案例中找出不足之處

我們從近期眾多重大資安事件進行瞭解與分析，我發現光靠病毒碼更新(防毒軟體)、收集惡意網站連結或是以執行後為中心的檢測與回應方案(EDR/MDR)架構已證實無法有效應付現今新型態的駭客快速攻擊，所以有的企業被勒索高額的贖金，有的花費長達2週至6週才能恢得系統正常或必須尋找資料解密外援，這些事件剛好反應出目前企業資安防護架構不完善之處，主要問題大致歸因如下

1. 全球每天大約有3-50萬的惡意軟體被產出，每39秒就有人試圖想闖入某個系統，其中超過7成是屬於未知的威脅，防毒軟體透過被動式的病毒碼更新與比對模式，其速度已跟不上新型態的攻擊，面對未知威脅(如:APT攻擊/Zero-Day攻擊/無文件攻擊……等)完全無招架之力。
2. EDR/MDR屬於以執行後為中心的解決方案，發現異常後必須將文件原檔上傳做檢測確認與回應，若遇到網路斷線或是測檢維運人員經驗、能力及人力不足時，其反應速度無法跟上實際防禦需要。所以EDR解決方案通常企業必須編制至少一位以上的專責資安人員。
3. EDR採用的是機器學習(ML Machine Learning) AI，是屬於一種需要大量人工參與及定義的學習模式，侷限性大，通常只會查看2%-5%的可用資料，容易導致產品的精準度低、誤報率高，高度依賴資安人員進行調整的情況下，形成了半自動的維運模式。
4. EDR對惡意軟體攻擊防禦一直處於被動角色，面對持續威脅 (APT) 攻擊或零日攻擊，往往等到惡意程式發動攻擊時才進行檢測及回應，無法透過系統自動且即時的做出預防而發揮其防禦主動性。

第三步  拉大資安防禦縱深 – 補強不足之處，提升企業資安防禦厚度與準度

企業要如何採用全新跳躍式的戰略模式超前佈署呢?

1.  將主要資安斷點向外推移，拉大防禦縱深，降低駭客近距離衝撞；

2.  從被動檢測回應模式改為主動偵測及預防為主；

3.  建立具自適應學習能力的AI防禦工具，啟動自主防禦網，降低人工依賴；

4.  確保員工設備離線作業的資安防護效力；

5.  強化設備及系統log保存及分析管理，可預防駭客隱匿蹤跡及做為重大事件舉證；

6.  行動商務應用之安全控管，有規範的限定行動裝置的使用及防護；

7.  持續完善企業整體資安防禦架構，增加防禦厚度;

<< 完善資安防禦架構建議>>

步驟 ① ② ③

<< 完善資安防禦架構一: 建置主動預防偵測與回應機制

Deep Instinct是一套運用深度學習AI資安框架設計以主動預防偵測回應已知與未知威脅為主的防禦系統，有別於EDR/MDR以執行後為中心的產品。因為Deep Instinct具備深度學習AI所擁有的自適應能力，完全不需仰賴人工調整或病毒碼更新，就能持續抵擋不斷推陳出新的已知及未知的威脅 。

Deep Instinct(DI)如何進行防禦呢?

Deep Instinct 是一種基於 Agent-based 的解決方案，企業在端點設備上安裝DI Agent程式，這個深度學習AI模型大腦是經過數億個樣本學習訓練而成，除了本身已擁有大量已知惡意文件的數據集之外，它的人工大腦在接受訓練後，可以本能地預測和識別各種網路威脅，不需在端點設備進行學習，不影響效能；DI Agent程式利用多層次的分析對已知及未知的惡意軟體、拒絶列表(Hashes)進行第一層的靜態分析，若是惡意軟體或文件通過了第一層防禦，當使用者開始對此檔案、文件或連結等進行互動時，Deep Instinct就會自行啟動動態分析、行為分析及無檔案攻擊等分析，當系統發現威脅時會在資料回寫磁碟之前主動做出預防隔離及攔阻，並告知被系統判定屬於何種威脅，DI Agnet程式再將檔案Hashes(有別於EDR將原始檔案上傳的模式)回傳雲端主控台，這就是Deep Instinct的戰略型防禦模式，系統可以在第一時間進行主動預防、狩獵、攔阻威脅，而不需等到惡意軟體在企業執行後再做進一步檢測及回應，這樣就能成功的將企業內部的主要資安斷點向前推移，讓惡意軟體不要進入企業內部網路執行，達到真正決戰境外的效果，有效大幅拉大企業資安的防禦縱深。

Deep Instinct(DI)如何進行佈署與更新呢?

原廠每年大約發佈2~3次更新，資訊單位不用頻繁的進行更新作業，當使用者設備離線使用時，系統依然能保有其防護能力。

DI可以支援Windows/MacOS/Linux/iOS/Android/ChromeOS多種跨平台作業系統(包含企業內部系統環境與外部行動裝置系統環境)並統合成單一管理主控台進行管理。

Deep Instinct(DI)在防禦的表現如何呢?

• 在第三方單位(Unit 221B)所做的獨立測試及相關測試報告中，歸納其結果大致如下

1. 可以超過99%的準確率自動阻止惡意軟體執行；
2. 檢測誤報率低於 0.1% 的惡意軟體和攻擊 ；
3. 可識別並自動阻止以前未知或自定義（零日）攻擊 ；
4. 只需不到 20 毫秒即可防止威脅（比勒索軟體加密快 750 倍）；
5. 超輕量的Client程式<150MB，低耗用CPU資源 <2% 。

• 在Gartner根據客戶評級顯示總體評分為 4.8/5，其中超過 93% 以上的客戶推薦該產品。

<< 完善資安防禦架構二: 建置專責的日誌(log)分析管理系統

為什麼企業會需要規劃專責的日誌管理系統呢?

1. 完善ISMS、ISO27001、個資法、GDPR……等相關法令要求；
2. 凡走過必留下痕跡，針對設備或是系統的log記錄集中管理，可以針對登入、登出、使用行為、程式啟動或停止……等記錄完整保存並進行趨勢或異常圖表分析管理；
3. 採用專責的系統集中處理巨量的log資料，可以大幅改善原有設備效能 (原設備不必額外處理日誌報表的工作)；
4. 新型態的駭客經常為了隱匿蹤跡而刪除log記錄，讓資安人員不易追蹤，若是不幸發生資安事件時，保有完整的記錄可供資安鑑識及舉證之用。

<< 完善資安防禦架構三: 強化行動商務應用安全控管

後疫情時代及行動裝置的普及化，手機行動商務應用已是不可逆的趨勢，外出時隨時隨地拿起手機、平板，透過4G/5G或是Wi-Fi連網至公司使用系統 (如: ERP/CRM/HR/電子簽核……等)使用超方便，因為行動裝置大多為員工自有裝置(BYOD)，若強制要求手機安裝MDM安全控管軟體，員工排斥性相對較高，阻力相對較大，但行動裝置不做有效控管，卻又容易造成企業機敏資料外洩(出現資安漏洞)；更危險的是你的行動裝置不慎誤點釣魚網站被植入Cookies/木馬程式等，導致帳號密碼被竊(出現資安漏洞)，即便你使用VPN連線，駭客還是可以使用竊取的帳密長驅直入，攻擊內部網路及系統，造成企業資安風險；所以在行動商務應用安全的規劃上要內外兼顧，才能確保重要資料的安全

【Deep Instinct + ISAI行動安控平台】防護規劃

本文僅就著重於行動裝置的內外防護進行探討，若是企業計劃強化公司內部裝置(如:PC/NB/機台設備……等)防護可以再往DLP(資料外洩防護)解決方案做探討。 

• 外對內的防駭:

1. 手機可以安裝Deep Instinct主動預防偵測防禦，預防駭客惡意軟體攻擊；
2. 公司外部行動裝置連線使用企業E系統一律採用ISAI專屬資安瀏覽器，做到公私分離及MFA多因子身份驗證，除了確保登入者身份之外也可以避免瀏覽器被駭客植入Cookies；

• 內對外的防外洩:

1. ISAI採專屬資安瀏覽器的行動數位內容管理(MCM)解決方案，可公私分明，不必如行動設備管理(MDM強制關閉員工手機鏡頭；
2. 透過ISAI可以提供螢幕浮水印遮罩嚇阻，禁止資料下載存檔、轉傳、複製及遠端資料 回收刪除。
3. ISAI擁有AI追查與溯源管理技術，預防重要資料外洩及發生資安事件相關佐證之用。
4. 離職員工遠端資料刪除或自行移除APP，兼具資安控管及員工個人隱私權；
5. 透過ISAI設定及微調即可快速達成企業E系統APP化應用，降低開發時間及成本。

第四步  做好最壞打算 – 備份機制不可少、救援資源不嫌少

若還是不幸發生資安事件時，有效的備份機制就變成最後一道防線(雖然費時費力，但至少可以將系統損害及停擺影響縮到最小，至於商譽損失、重要資料外洩等問題，就不是備份能解的問題了)。 

• 備份機制不可少

備份機制可以參照坊間常採用的3 2 1 + 1 原則(3份資料備份/2種儲存媒介/1個異地備援/1個離線備份)來進行規劃與建制。

• 救援資源不嫌少

畢竟企業IT單位並非天天遇到這種資安事件(過去經驗也發生過少數企業不清楚災害處理程序，而造成資料刪除的狀況)，所以適度的建立事後救援(如:解密、IR鑑識……等)廠商資源，對企業事故預防也是有所幫助的。

結論:

駭客技術的大幅躍進，很多企業主或是IT單位或許還停留在錯誤的認知中，覺得自己企業不知名、規模不夠大，駭客不會找上門，我們從近2年台灣企業受駭的案例中顯示，規模從幾十萬人的大企業到不足10人的小企業都有，從上市櫃企業到名不經傳的中小企業都有，因為RaaS產業興起後，大企業有大駭客針對、小企業有小駭客關照，但是他們都是租用同一個中央廚房的攻擊軟體執行任務，專業分工、協作分潤；正因為駭客攻擊、加密技術及勒索手法的不斷進步與翻新，過往也已發現許多加密檔案已無法從底層進行解密救回，大約有3-4成的受駭企業最後走入談判及付贖金之路。

駭客組織攻擊頻率與產業針對性不斷提高，從金管會的資安保險投保產業年度排名順序中可以發現，原來居於首位的金融保險業，從2022年起已退居第三位，改由電腦及週邊設備業竄升為首位，而半導體業居第二位，這個趨勢印證了近2-3年來台灣製造業被駭客組織騷擾頻率增高、即有防護架構已難以應付與企業經營風險提高且控管不易的情況；企業面對如此嚴峻的資安環境，除了尋求保險的風險分散之外，本身對資安的規劃及佈建也必須加速及上心才能規避風險。

我們都知道世上沒有一個100分零風險的完美資安產品，只有沒認清現況並適時調整的盲點，最有效的防護力還是必須仰賴多個產品的堆疊來達成，過去想靠一個防火牆+防毒軟體打駭客的時代已不存在了。

如今唯有從以下三個面向去著眼，才能持續加強資安的防護力度。

• 依需求: 依企業產業特性及自身現況需要來衡量資安配備；
• 重先後: 確立防護重點的先後順序，因著重於事前、事中或事後防護機制， 可思考從建立主要資安斷點，拉大資安防禦縱深及厚度與準度；
• 調架構: 針對EOS(End of support)的產品進行檢視並放下對古董級及次世代產品的冀望，認清現況，加速調整步伐。

錡碩資訊

www.QISO.com.tw