基於「Never Trust, Always Verify(永不信任,一律驗證)」的原則,零信任策略假設威脅可能存在於內外部網路,因此在驗證前,不應預設信任任何使用者、系統或裝置。而端點,被視為主要攻擊面,對於整個組織的資安態勢而言非常重要。確保端點安全必要的早期偵測,能在威脅擴散前及時阻止,並維護資料與系統的完整性。若缺乏有效的端點安全,將無法完整實現零信任策略,且易遭受攻擊。因此,端點安全的重要性對於網路安全來說,是一層不可或缺的防護。
終端設備遭受攻擊事件數急遽上升
根據TeamT5 的研究,在過去三年,終端設備經常被攻擊者當作初始入侵的目標,特別是來自中國的 APT 攻擊者。終端設備作為串接資料中心與真實世界的介面,負責收集資訊,卻經常被攻擊者用來滲透其目標。此外,我們也發現在過去兩年,中國 APT 攻擊者能挖掘端點漏洞,並能利用終端設備的零時差漏洞來進行攻擊。
利用漏洞進行攻擊的案例層出不窮。根據 TeamT5 的分析研究,自 2023 年 7 月以來,威脅攻擊者已利用 Zyxel ZyWall USG 20/50 防火牆設備的兩關鍵漏洞進行攻擊,攻擊目標特別針對台灣企業組織。攻擊者在駭侵端點後,隨即部署殭屍網路,以用於進一步的指揮與控制(Command & Control)。
為了緩解和應對終端設備被攻擊的情況,漏洞修補仍然是目前最佳的解決方案。然而,對於那些尚未有漏洞修補的零時差漏洞,我們能採取哪些措施呢?
該如何應對零時差漏洞?
我們建議使用以下對策來應對零時差漏洞:
威脅情資:了解攻擊者,就如同攻擊者了解你的終端設備一樣。
由於多數攻擊者能挖掘零時差漏洞,並為受駭終端設備客製化後門,我們應更加了解攻擊者會如何利用漏洞,並採取相應的措施。
TeamT5 提供的《漏洞情資暨應對緩解雙週報》(Vulnerability Insights Report, VIR),其中包含對重大漏洞及近期網路威脅的詳細分析。每份報告聚焦分析一個關鍵且極易被利用的漏洞,並提供漏洞利用情境及全球事件精華。而除了漏洞修補建議外,在使用者無法立即漏洞修補時,《漏洞情資暨應對緩解雙週報》更提供實用的緩解策略,協助使用者能主動保護其系統,並降低漏洞被利用帶來的風險。
隨著暗網威脅的日益增加,例如販售零時差漏洞、具針對性的漏洞利用,以及外洩的組織憑證或資料,讓採取更積極的防禦措施以制敵機先,顯得至關重要。
TeamT5 提供深暗網威脅情資,其中包括:
- 深暗網定期監控告警:每週深暗網自動掃描,監控深暗網中是否有外洩的憑證或資料。
- 深暗網監控分析報告:由 TeamT5 分析團隊提供專屬的威脅風險分析、最新威脅趨勢洞察,以及緩解建議。
端點威脅狩獵:主動狩獵隱藏威脅
作為亞太威脅情資的領導廠商,TeamT5 具備主動威脅狩獵技術,並且能夠提供零信任策略中的關鍵:以情資為導向的威脅狩獵。
TeamT5 的 ThreatSonar 內建數千種 APT(進階持續性威脅)後門特徵,將最新的威脅情資帶到每個端點,以協助進行威脅鑑識。此外,可匯入外部情資至 ThreatSonar,例如雜湊值、IP 位址、網域、Yara 規則和 IoC(入侵指標),以精準防禦針對性強的潛在威脅。
結論
在無法完全避免安全漏洞的世界中,必須一律驗證,並切勿預設有安全無虞的網路存在。為了有效執行零信任策略,企業和組織必須:
- 了解攻擊者:無論是透過 APT 威脅情資或暗網活動,了解攻擊者的手段能幫助企業強化零信任策略。
- 漏洞修補優先順序:先處理最至關重要的漏洞,特別是那些正被攻擊者積極利用的漏洞。
- 暗網情資:利用對暗網的洞見,以防範資料被竊和攻擊於未然。
- 主動威脅狩獵: 即便採用了所有零信任策略,也不能忘記「永不信任,一律驗證」的原則,並隨時使用威脅狩獵工具來檢查網路安全狀態。