发布日期:2023年7月26日
在数码时代,数码化已经与各行各业不同规模的机构紧密相连,成为不可或缺的部分。不过,对资讯科技的依赖,却增加了机构承受网络威胁和挑战的风险。网络攻击若然发动成功,后果可以很严重,包括引致财务损失和声誉受损。虽然预防措施和外围防御策略是有效保安计划的重要一环,但机构亦必需再加强其网络韧性。网络韧性是指机构在监察、侦测和应对网络攻击方面的整体能力,目的是尽量减轻网络攻击对机构造成的负面影响。今天的网络空间相互连接,随时受到攻击,我们须采用「假定被攻击」的策略,从被动防御转为主动防御。
主动侦测网络威胁
「假定被攻击」的作业模式,是指机构应假定网络攻击已经发生,并主动检测环境中是否有任何因入侵行为而造成的可疑事件。为此,机构应在端点和网络上有策略性地部署适当的侦测工具,以及时识别异常活动和行为。在选择侦测工具时,机构应考虑具有行为分析能力的工具,而非仅依赖识别异常模式或识别码的工具。由于行为侦测工具可以评估系统活动和网络流量的行为特征,以侦测异常行为,因此被视为较诸识别码侦测工具而言更为有效。目前,大多数保安解决方案,如端点侦测与回应(EDR)和端点保护平台(EPP)解决方案,均已具备分析实时系统行为的能力,侦测是否受到威胁。
保持良好的记录作业模式
全面的记录机制亦极有必要,能帮助我们了解和追踪系统和保安事件,并有助加强持续监察潜在的网络威胁。为了建立有效的记录作业模式,机构应先确定哪种日志记录配置有助确定系统是否受到入侵,以及系统受到入侵影响的程度。可能有需要加以记录的事件包括更改系统配置、外部通讯、身份验证和接达、保安工具引发的警报,以及改动保安工具的启动状态。为便于寻找威胁和分析事件,机构应确保记录的保存时间够长,并避免被覆写。一般而言,记录应至少应保留六个月,并应实施足够的措施保护记录,以防止攻击者篡改记录。
建立主动进行安全监察的能力
现今的网络攻击者往往会避开侦测,并藏匿在机构的系统环境或网络基础设施中,以尽可能收集更多资讯,才发动攻击。建立一个坚固的安全监察系统,包括对记录进行主动和持续的分析,以查找异常的系统行为和已知的攻击模式,可以让机构及早发现受到入侵的迹象,迅速作出应对,从而减少可能受到的影响。虽然没有一套通用做法,但机构应根据所面临的威胁和可用的资源来建立其安全监察系统。不论采用哪种做法,机构宜通过自动化工具进行安全监察,例如安全资讯与事件管理(SIEM)方案,可以集中收集和整合不同系统的记录,以便即时发现安全问题并尽速处理。为了应对不断变化的威胁形势,应不时加强安全监察(包括SIEM的预警规则),加入威胁情报和安全报告所分享的最新入侵指标。
建立应对网络威胁的有效措施
在掌握系统环境中的活动后,下一步是有系统和高效地准备好应对安全事故,并恢复受阻的服务。当中需要作出适当的人手和责任分配、预留足够的资源、制定事故处理程序,甚至编制事故应变手册。为了有条理且自动化地应对安全事故,编制事故应变手册是至关重要的第一步。虽然手册的形式视乎机构的规模和类型而定,但通常包括工作流程和操作程序,以协调不同情况下的应变工作。除了手动程序之外,机构还应考虑安全工具所提供的全自动或半自动操作程序(例如终止恶意程序、隔离有可疑出站网络流量的端点或禁用异常用户帐户),以进一步加快整体的应变工作。此外,机构员工对于防御网络威胁的准备也同样重要。机构应定期进行网络安全演习,让每位支援和管理人员熟悉事故处理程序,同时提供机会优化事故应变流程。
建立共享威胁情报的生态系统
提升网络的抗御能力需要持续保持警觉和不断投入,才可以跟上日新月异的攻击方法和加强已建立的侦测和应变机制。然而,机构可能难以单独应对瞬息万变的网络威胁。为了在不断变化的威胁形势下保持优势,机构应积极共享和交流有关攻击方法和入侵指标的最新资讯,并及早采取预防措施,互相协作,以提供多一层针对网络威胁的保护,最终得以减少网络攻击的整体影响。