蔡一郎的部落格

Yilang's Blogger

零信任網路下的資安防禦

Published by Yi-Lang Tsai under , , , , , on 4/21/2019 10:09:00 上午
網際網路發展至今,目前已進入零信任網路(Zero Trust Network)的時代,新興資訊科技打破典型的資安防禦架構,行動化與數位化的時代,讓資安的防禦更加困難,由台灣學研網路所部署的誘捕網路,到近年來政府積極建立的情資分享與分析架構(ISAC, Information Sharing and Analysis Center),期待從資通訊技術(ICT, Information Communication Technology)走向維運技術(OT, Operation Technology)時,都能夠掌握資安的威脅,而網路上隨著不同應用類型的資料與資訊的交換,雲端服務平台的發展,到目前已進入萬物聯網的時代,除了典型的資安架構之外,因應資訊科技的發展,又增加了許多型態的服務,加上與行動裝置的整合,讓資訊安全的防禦機制,更難有一套通則,反而面對不同的企業或是服務平台,都必須採用服務導向的方式,進行資安風險的評估,以確定所建立的數位邊界,能夠有效的掌握進出這個數位邊界的通訊行程以及交換的資料。

圖:資料來源 Akamai

目前已進入一個由軟體定義安全邊界(SDP, Software Define Perimeter)的時代,不論雲端服務、物聯網應用到 AI 的應用,都需要考量到資安議題對於應用科技所帶來的影響,而其中最重要的都是應用軟體的開發安全,多數的程式開發人員在撰寫程式時,早期主要注重在程式功能面或是使用者界面的開發,在資訊安全的考量上較少,造成了應用程式在運作時一些資安的問題,OWASP(The Open Web Application Security Project)所發佈的The Ten Most Critical Web Application Security Risks,就不難看出許多網站應用程式所存在的重大風險,其中許多的風險,都能夠透過程式設計的改善,就能夠避免該風險的發生。

如何掌握網路上的異常通訊,或是發掘異常的通訊行為,然後再加以阻止或是減緩所造成的影響,以符合對於資訊安全防護的期待,這是一個值得思考的問題,典型的作法是透過網路封包的截取,然後再進行網路通訊的解析,以掌握網路上的通訊行為,不過當加密的流量成為常態時,原本的網頁的服務在2018年已有超過30%採用加密的通訊協定,如果以雲端服務而言,更高達70%的網路流量採用加密的通訊協定,依照此趨勢繼續發展,在2019年雲端服務採用加密通訊的比例,有機會一舉超過80%的門檻,這麼高比例的加密流量,除了原本確定應用程式的使用者可以擁有安全的通訊之外,另一個隱憂是同樣也有越來越多的惡意程式,採用加密的通訊流量進行資料的傳輸,以往可以用於網路上進行特徵比對或是過濾通訊內容的防護機制,當它面對這些被加密的通訊時,已經無法發揮預期的功能,甚至已無法對於這些隱藏在其中的惡意行為進行任何的阻絕,這將會企業營運上的隱憂;另一個需要正視的問題是雲端服務大量的出現,除了帶來便利性之外,也帶來新的資安風險,以大多數人經常使用的雲端儲存服務而言,企業對於營業秘密的保護尤其重視,這些都是攸關企業競爭力的重要因素。

進入AI的時代,多樣化的創新應用不斷的出現,當然在資訊安全的領域,也有人不禁會問,當人工智慧發揮到極致,人類是否將無法掌控這個世界,出現類似電影情節中來自於未來的魔鬼終結者,唯一的目標就是執行天網(Skynet)所賦予的任務,殺掉未來世界中挺生而出對抗天網的反抗軍,試圖改變歷史,這些情境從現在的觀點來看仍有些困難點,但我們不禁也擔心在資安防禦的領域,導入人工智慧是否能夠真正的防禦外來的攻擊,或是將人類視為最大的敵人呢?2019年初Yelp的神經網路除錯程式,將程式開發人員所安的程式全刪了,也刪除了資料庫中的資料,造成了網站營運的中斷;AI運算時代讓以往許多耗費時日才能夠解決的題目,因為資訊科技的發展,縮短了原本需要花費的時間,改善了原本分析的結果,加上數據分析的加值應用,也讓許多的領域在新興的議題上,能夠更往前邁進,這些都是需要整體環境的成熟,目前國網中心的台灣杉II更扮演著國內AI運算平台的重要角色,提供學研與產業界可以取得GPU運算以及AI研發所需要的環境。

物聯網路成為下一個世代的主角,目前已有越來越多的裝置透過網路的接取,成為網路世界中的一員,配合這些裝置上所開發的應用程式,建構起資料交換的機制,透過網路的連結,進行裝置與遠端(雲端)的資料交換管道,其中也衍生了許多的資安議題,包括了裝置本身的安全設計是否到位?應用程式的開發是否妥善的保護了使用者的機敏資訊,或是通訊的方式是否已經考慮了資料傳輸時的安全?遠端使用者的身份認證方式也挑戰進入系統時的第一道門檻是否強固?這些不同的議題再配合著各種不同型態的雲端服務,讓整個資安防禦的邊界更難以定義。

參考由雲端安全聯盟(CSA, Cloud Security Alliance)所發佈的SDP安全框架,目標以避免來自網路上的攻擊行為,包括了分散式阻斷服務攻擊(DDoS, Distribution Deny of Services)、中間人攻擊(Man-in-the-Middle)以及參考OWASP所發佈針對 伺服器服務查詢(Server Query)等相關的攻擊行為,安全架構涵蓋了三個主要的角色,分別為用戶端SDP Client、控制端SDP Controller以及閘道端SDP Gateway,其中將身份識別(Identity)以及公開金鑰基礎建設架構(PKI, Public Key Infrastructure)納入安全框架構之中,這些都是目前雲端平台在提供網路應用服務時可以參考的架構,不過面對目前複雜的服務架構而言,如何建構安全的服務機制仍會是一大挑戰,加上近幾年行動化與數位化的普及,智慧型行動裝置的普及,延伸了企業的服務終端,不再局限於特定的場合或是平台才能夠使用資訊平台所提供服務,反而因為網際網路的連結以及頻寬不斷的提昇,讓原本許多需要網路頻寬支持的應用服務,得以在目前的行動通訊世代中實現,對於原本的服務平台而言,更是不得不重視的使用者行為與使用型態的上的轉變,所帶來的影響與衝擊,不得不讓我們必須重新審視現有的資通訊架構,除了效能上的問題之外,在資安的議題上該如何看待。

企業對於營運而言,其重視的程度往往大於對於資安議題的重視程度,從過往層出不窮的資安事件就不難得知,從「服務營運」的角度看待「事件應變」,從典型企業的思維,當發生資安事件時,大家多數認識這些「資訊部門」的事,或是買套防毒軟體或是買台防火牆就可以搞定,其實以目前資安事件的種類而言,並不是如此的單純,在目前的時代中,「沒有人是局外人」正印證了企業面對資安事件發生時,應變的範圍多數與整個企業有關,每個員工都必須擔負著資安防護的責任,也必須有相關的認知,從資訊科技以及通訊科技,到產業獨有的維運科技,其中以維運科技的角度來看,經常被認定與企業的資通訊並不相關,不過在工業4.0以及智慧製造的潮流之後,典型的產業面臨的轉型的壓力,也需要利用大數據的分析,或是人工智彗的運算,找到最佳化的解決方案或是生產製造的參數,這些都必須仰賴前端的感知網路對於數據資料的收集,越完整,越真實的資料,將會更有機會在更短的時間內,找到預期的目標。

在「網路攻擊」與「企業防禦」兩個面向,後者的複雜程度遠高於前者,因為網路攻擊手法變化快速,而且透過網路的連結,就算遠在地球的另一端,只要攻擊者連上網際網路,就能夠輕易的對企業發動攻擊,對於攻擊目標進行資料的竊取或是阻擋服務,都讓企業在目前的時代中更難加以防範,尤其對於分散式的阻斷服務攻擊而言,更是攻擊來得快,去得也快,在遭受攻擊期間,這些對於服務的網路服務,輕易影響其營運的效能,重則可能直接遭到阻斷服務,而對於攻擊來源的追蹤更是不易,因此資安技術已不再局限於傳統的資安領域,駭客的攻擊手法更是如此,經常每半年或是更短的時間,都有新型的網路攻擊手法出現,對於負責企業資安防禦的人員而言,就必須能夠發覺阻絕或是偵測的方式,才能夠阻擋這些以前未發生過的攻擊手法,同時必須確保營運的範圍內不會因為受到網路攻擊,而影響到對於資料的保護或是服務平台本身的營運,這些目標對於企業而言多數是處於弱勢,採取初動的角色進行資安的防禦工作。

一個「零信任」網路的來臨,對於來自於遠端使用者,不論是雲端平台或是終端的使用者,融合了行動化、數位化以及虛擬化的世代,在目前的環境中更需要考慮各種不同的層次的資安問題,對於防禦而言更需要設計出多層次的資安防禦機制,保護企業重要的數位資產,同時也需要考量這些數位資產的生命週期,確保所投入的資源能夠最精準的應用在需要重點保護的標的物上,目前駭客有興趣的目標已經涵蓋許多以往資安防禦所忽略的,隨著新興資安科技的應用,除了帶來便利之餘,也將帶來新的資安問題,而目前許多的使用者對於資安的意識已大幅提升,在使用便利的行動通訊之餘,也需要留意可能對於使用者本身造成的資安風險。

參考資料。
Akamai Zero Trust Network Model 

【本文同步刊載於 中興大學法政學院-網路政治暨科技議題 歐亞論壇】

RSA Conference 2019 國際資安會議-後記

Published by Yi-Lang Tsai under , , , , on 4/08/2019 12:19:00 上午
每年在舊金山舉辦的 RSA Conference,可以稱得上是全球最大的資安產業聚會,不論從與會的人數、展覽場的攤位數,幾乎每一年都是打破前一年的紀錄創造歷史新高,而會議的多元化也是全球最完整的,與資安有關的議題,都能夠在同一個會議中找到,而今年剛好參與的國際資安組織 Cloud Security Allinace 成立十週年了,更見證了十年前談雲端服務到目前看雲端服務幾乎已成了生活的日常,這次也有機會與在CSA一同成長的夥伴聚聚,彼此交流與再次感受到資訊世代交替以及這十年來資訊科技的進步。
圖.拍攝於CSA 10週年

圖.拍攝於RSA Conference 2019

不論是經營會議或是組織,都需要有議題以及能夠切合目前與未來的需求,因此每年的 RSA Conference 都能夠吸引更多的人來參與,我想這個是一個重要的關鍵,當然大環境對於資訊安全的需求與日俱增,更成為一股推動的力量,在國外看展與參加國內的展覽,其實最大的不同在於在國外的展會,絕大多數是由設備或是服務平台的「原廠」來參加,不論大大小小的攤位,一定都可以找到熟悉展出產品的技術人員進行詢問,而其熱絡的程度如果未參加過的人是很難體會的,在目前這個發展快速的時代中,如果手邊有資源,或是有機會參與國際間的大型資安會議,行萬里路一定可以勝過讀十年書,而且如果對某一產品有興趣,大可直接詢問不瞭解的地方,這個應該是學習新技術最好的方式之一,閉門造車或是請國內的經銷商來介紹,其實都無法如原廠講得清楚,這個當然與國內的生態有關,多數的原廠在台灣配置的人力資源其實滿有限的,多數得依賴代理商以及經銷商在市場上行銷。
圖.拍攝於RSA Conference 2019

主題演講的場次,是每年一定會安排前來聆聽的,一來聽到最新的資安發展趨勢,也能夠瞭解不同的資安威脅,是否有適合的解決方案,或是應該如何看待這些新興的威脅,避免企業遭到攻擊時而損失慘重,上萬人同時在一個超大的會場中,這個也是國內所無法達成的,主要在於國內現有的市場規模其實除了靠政府支持的一些資安計畫之外,其實每年可用的資安預算實在是相當的短少,而產業對於資安的需求,除了有前瞻思維的管理階層能夠意識到資訊安全防護的重要之外,大多數的企業很多是買台防火牆就以為能夠做好資安的防護了,資安認知的不足,是推動資安產業與需求上的一大挑戰,大環境不好更是會將僅有的資源投入生產製造或是研發產業,資訊安全的議題當發生了再說吧。
圖.拍攝於RSA Conference 2019

從七年前將Cloud Security Alliance 引進台灣,在當時大家都害怕使用雲端平台,最常聽到的就是「不安全」,但是仔細一問為何認為「不安全」,多數聽到的答案是「因為放在雲端上,我看不到資料在那,當然是我無法信任它的安全」,相隔數年後,現在基本上所有新興的應用平台,都是在雲端平台上發展服務,透過網路與使用者端介接,進行身份的認證以及資料的傳輸,從以前推廣雲端安全聯盟所發佈的「雲端安全指引 (CSA Security Guidance)」,配合開放式稽核框架(OCF, Open Certification Framework)發展出來的CSA STAR認證,目前國內已有超過七家的雲端服務供應商取得,由此可知順應時代的發展趨勢,將會是企業或是雲端服務成功的因素之一。
圖.拍攝於RSA Conference 2019

有時候當資安事件發生時,往往大家就會關心「事件影響的範圍?」、「事件怎麼發生的?」、「系統管理人員是否有疏失?」、「系統是否遭到駭客的入侵?」等,這些問題其實有超過一半的機率是找不出真正原因的,因為許多的證據有可能在遭受攻擊的過程,就已經遺失了,或是在處理事件的過程,因為人為或是系統上的問題,而無法留存足夠的資料,以證明發生的事情緣由,對於事件的處理其實絕大多數的企業都是處於「被動」的狀態,簡單來說,就是出事了再開始找原因。

而預警的觀念則必須與情資系統相整合,如果可以掌握到發起大量攻擊前的情報,或是因為一份中繼站的威脅名單,而能夠快速的找出企業內有問題的主機,加以處理與預防,避免後續資安事件的發生,可以達到災前預防的成效,再配合所截取下來的資料進行威脅獵殺(Threat Hunting),強化預防的成果,建立一穩定可靠的資情來源,對於企業本身的資安維運而言,可以一改過往單純依賴資安設備所制定的規則,而僅能由這些規則所觸發的日誌紀錄進行分析。
圖.拍攝於RSA Conference 2019

端點的防護對於目前高涵蓋的網路接取而言,成為最重要的一塊,很早從事資安工作時,其實就常聽到許多資安前輩說「防毒軟體無用論」,姑且不論是真是假,或是單純從不同的觀點解讀所謂的防毒軟體,這些對於目前的時代,都是已經過時的思維,目前在進行威脅獵殺時,最重要的是當發現可疑的行為時,是否具備「主動防禦」的機制,這個機制的啟動絕對不能依據傳統的特徵比對的方式,而是應該採用更具智能的使用者行為分析,透過端點所掌握的使用者行為現況進行分析,再加以判斷是否要有所行動。
圖.拍攝於RSA Conference 2019

每年的 RSA Conference 個人最喜歡來看的就是「 Innovation Sandbox Contest」以及不同主題的 Village,另外同一個會場旁邊還有剛起步的小公司或是開發團隊,努力的介紹產品,希望能夠獲得投資人的青睞,許多不錯的點子,其實可以應用到目前工作的環境中,除了可以改善資安平台的功能之外,也可以擴展這些平台的應用。
圖.拍攝於RSA Conference 2019

在主題演講的會場出來,可以看到一幅全牆面的講師名單,這些講者都是在全球知名的人士,雖然透過國際資安組織的連結,也認識其中幾位,不過有時候考量邀請來台灣分享的成本實在是非個人所能負擔的而有所婉惜,看著全球資安領域的發展,可以做為國內發展國際市場的借鏡,如果單純的只希望在國內經營,其實就直接與國際脫軌了,更不能在發展許多資安解決方案或是標準時,沒有參與國際資安組織的工作小組,更不用說往後希望在國際上可以認可國內所發展的標準。
圖.拍攝於RSA Conference 2019

如何把資安做得更好,從技術面具有前瞻性,建立完善的資安管理架構,清楚律定企業應合規或是遵循的資安政策,這些都是相輔相成的,如何做到 There is nothing but striving for perfection. You want to get better and better. 我想這是所有資安人應該學習的目標,與大家共勉。
圖 .拍攝於RSA Conference 2019會場

會議網站: RSA Conference 2019