Fortinet:眾多機構網路安全欠佳 建議採取主動式防禦
最近,勒索軟件LockBit對大型組織對全球不同大型機構造成影響,例如七月初名古屋港的貨櫃業務便因系統遭到LockBit入遭而一度中斷,反映眾多機構在改善網絡安全方面仍有大量改進空間;加上LockBit在今年亦開始出現針對MacOS的變種,使更多IT裝置受到威脅。一直以來,機構採用SASE、次世代防火牆、零信任等技術抵禦惡意程式。然而,要更有效地中斷不法分子的行動,機構應把入侵活動從萌芽狀態中扼殺。
根據網絡安全機構 MITRE的ATT&CK框架,網絡攻擊計劃可細分為多個戰術,而第一步就是偵察 (Reconnaissance),不法分子會發動進階持續威脅 (APT),分析目標機構的網絡是否存有漏洞,並在避免被發現的情況下獲取權限。不法分子亦會透過暗網收集外洩的登入資料,並掃瞄設定有誤或未修復漏洞的應用服務來入侵。
掌握攻擊者視角
及早識別不法分子的偵測活動有助避免惡意程式的攻擊。現時,機構可透過數碼風險保護 (Digital Risk Protection) 服務,以攻擊者的視角即時了解外部攻擊面的情況,如SSL憑證問題、具攻擊風險的連接埠等。
同時,服務亦可為機構提供品牌遭惡意網站冒充的情況,從而及早獲悉品牌聲譽的風險預警,以便快速應變。最後,服務更可持續監察暗網,及早識別流出的敏感資料,以盡早採取主動措施阻止攻擊。
誘騙攻擊者露出馬腳
誘捕 (Deception) 亦是識別不法分子偵測活動的重要技術。藉此,機構可誘騙不法分子洩露自己,及早洞悉對方計謀。過程中,誘捕技術會利用誘騙資產和數據與不法分子互動,從而分析對方活動,為將來的攻擊做好準備。例如當勒索軟件加密誘騙的檔案時,無論勒索軟件有多複雜都可被識別,讓機構了解不法分子打算尋找的檔案類型。
誘騙技術可減少誤報的頻率,使IT團隊能夠專注於攻擊者的活動,並可減少機構環境中可能產生的干擾和警報量;而在營運技術 (OT) 或物聯網等難以部署修補檔案的環境中,誘騙可為安全性提供額外的支援。
Fortinet香港、澳門及蒙古區域總監馮玉明表示:「網絡不法分子的攻擊活動精密難料,機構如可盡早識別,定別能事半功倍。Fortinet 提供多款提早識別網絡威脅的主動式防護方案,如為機構提供攻擊面情報的FortiRecon Digital Risk Protection (DRP) ;以及主動與攻擊者互動的誘捕方案FortiDeceptor。坊間往往認為誘捕技術只能在大型機構中應用,但實際上該技術特別適用於沒有預算或人員來實施複雜工具或僱用安全團隊的小型機構。許多類型的機構均可從誘捕技術提升可見性並從中受益。」