「買了入侵防禦系統就不會被入侵嗎?」、「有防毒軟體還是防不了毒!」IT/資安人員向老闆提案採購資安設備時,經常面臨對資安設備成效的質疑。過去只能靠廠商提供第三方測試報告來了解攔截率,現在有另一種客觀驗證方法——入侵攻擊模擬平台(Breach and Attack Simulation, BAS)。BAS上有各種入侵測試腳本不僅能驗證資安設備的防禦成效,能否確實阻擋惡意行為,還能檢測資安設備上是否有組態設定不當的問題。但是企業可能還會有疑惑,已經定期進行滲透測試,甚至也找過紅隊演練服務,還有必要使用BAS嗎?
近期BAS平台成為企業熱門的評估導入項目,金管會去(2022)年底發布的「金融資安行動方案2.0」中,也提及「具一定規模的金融機構應引入攻擊方思維,藉由紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署之有效性」。再者,許多時候資安設備無法發揮作用而被駭客入侵,不是設備本身的問題,而是設備組態設定不當所導致。
微軟去年發布的《Cyber Signals》網路威脅情報研究報告指出,超過80%的勒索軟體攻擊可歸因於軟體與裝置的配置與設定錯誤。報告也指出,在所觀察到的勒索軟體攻擊事件中,都會發現是因為有組態設定不當的資安設備,使得攻擊者能竄改或關閉防護措施,才使得系統被入侵。
在IT管理實務上,許多應用情境會造成組態設定出錯,舉凡內網安裝新設備時、系統變更及安裝修補程式時,或是為了故障排除以及測試所需,都需要先關閉或調整某些資安設備的設定,在SOP不夠嚴謹的情況下系統管理者忘記調整回原設定值,悲劇便發生。
而BAS平台模擬駭客的命令與控制中繼站,能派出各種攻擊腳本,同時也大量搜集知名惡意程式樣本並融入不同混淆技術,以檢測企業的資安設備能否成功攔截惡意程式與攻擊行為,包括可檢測防火牆、入侵偵測/防禦系統、端點防護系統,並整合SIEM系統查看能否攔截。同時也能一併偵測出資安設備上是否有設定不當的問題,某些BAS平台甚至有能力在檢測後,提出防火牆規則新增建議,以提升設備的防禦能力。
相較於主要用來測試驗證資安設備防禦能力的BAS平台,過往企業所做的滲透測試及紅隊演練,則通常是鎖定企業的某台攻擊標的或某項服務後,找出可成功攻陷的途徑。兩者目的不同,無法相互取代。
滲透測試或紅隊演練與BAS檢測應互補搭配,前者主要從外部發動攻擊檢測企業資安防線是否有漏洞,而後者則是在內網查找問題。畢竟即使從外部找不出攻擊破口也不代表內網安全無虞,因此需由BAS模擬攻擊腳本檢測內部防禦機制是否有效。
在導入實務上,滲透測試與紅隊演練需要依靠外部專業團隊以人力進行檢測,多半是每年執行一次。而BAS則可依企業需求,選擇自行建置平台或尋求資安廠商提供專業服務,一般建議至少一年檢測一次,審視資安設備的政策是否需新增或調整。而自建平台者,更可提高檢測執行頻率,尤其是在發生重大攻擊事件時,BAS平台業者取得新腳本後就立即檢測,以保持最佳防禦狀態。
1. 模擬攻擊腳本的數量與更新速度。BAS平台必須盡可能獲取攻擊測試腳本與攻擊程式,提升企業防禦韌性。
2. 考量佈建難易程度,避免選擇佈署架構過於複雜的BAS平台。
3. 針對檢測結果提出修正建議。較成熟的BAS平台在檢測後能精準的提出政策新增或調整建議。
4. 服務廠商的支援能力。導入BAS平台或服務都需要仰賴有經驗的資安廠商,在產品工具檢測之後,若是平台無法自動提出政策修正建議,BAS服務提供商必須具備相關技術能力補足。此外,BAS平台需能支援客製撰寫攻擊腳本,而數聯資安能因應企業所屬產業,協助客製化更貼近企業系統環境的攻擊腳本,以因應各種目標式攻擊。
