Embed Size (px)
Citation preview
1
1) 重大資安事件所造成的影響
2) 事件導向快篩的急迫性
3) 資安託管服務的必要性
4) 快篩與追蹤監控服務
5) 事件導向的資安快篩
大綱
2
趁亂打劫的駭客攻擊
2020年新冠病毒肆虐全球,美國衛生部網站和捷克疾
病篩檢中心卻接連遭到駭客攻擊,對於防疫行動雪上加霜。受到攻擊後,相關篩檢作業被迫延後,嚴重時,更是可能導致網路系統癱瘓,錯過急症患者的黃金救援時間。
3
71%
內部攻擊
資料外洩平均造成醫院
400萬美元的損失
比其他產業
多出36%的資安事件
7300萬個資安事件
一年內1億筆醫療紀錄損失
46%的
內部人員無意間助長惡意行為
25%的
內賊有意進行惡意攻擊
29%
外部攻擊
醫療保健行業資安攻擊肆虐
4
醫療資安四大威脅
• 資訊專業能力與人力不足
• 醫護人員缺乏資安意識
人員
• 醫療設備未經合規檢測,有可能沒有符合國內及國際安全規範
• 設備故障,資訊室沒有備品或未與廠商簽訂維護合約
• 未經授權的使用,設備沒有妥善保管及移除敏感性資料,往往在不經意間就外洩重要資料
醫療設備
• 委外業務未做好安全管理
• 醫療資訊系統欠缺資料輸入檢查及存取記錄等資安管控機制
醫療資訊系統
• 醫療資訊系統未告知應擔負的安全責任,導致醫護人員在使用病患資料時不小心外洩個資
流程
醫療院所掌握大量隱私資料,為因應個資法,各層級醫療院被要求更新或
增加資安設備投資,但卻由於資安預算不足而窒礙難行,或是花了錢
卻疏於維護、更新、配置,導致無法解決根本問題...
5
患者隱私資料未經授權傳送至醫療設備
醫療院所資安委外,無法自主掌控資安威脅
醫護人未善盡告知責任暴露患者資料 醫護人員缺
乏資安意識
內網安全薄弱遭受威脅軟體威脅
醫療資安威脅情境
6
醫院評鑑「資安應變」之重要性
5.訂有資訊系統風險管理計畫,且主動積極進行風險分析、監測及管理,並落實執行,可被廣泛應用。
根據醫院評鑑基準及評量項目第1.4.4條號:具備資訊管理作業規範,以確保資訊安全及維護病人隱私,並訂有緊急應變處理機制
目的: 建立資訊安全管理機制,系統當機緊急應變標準和風險管理計畫,確保病人隱私和資訊安全。
符合項目: 1.依「資訊安全管理法」應有資訊系統使用權限設定及防止資料外洩之資訊管理相關作業規範,並具備資訊安全管理機制(如:使用者權限界定、資訊需求申請程序書、資訊系統密碼管理辦法、程式撰寫文件管理辦法、資訊系統備份作業程序書、資訊安全稽核作業程序書、網路頻寬使用管理辦法、網際網路使用規範、網路信箱管理辦法等),以確實保障病人個人隱私。
2.設有資料正確性之檢查機制,並檢討改善資料之正確性。
3.資訊設備機房應訂有門禁管制及防火設施。如實施電子病歷之醫院應有病人資料異地或雲端備份之功能。
4.訂有資訊系統故障(當機)緊急應變標準作業規範。針對資訊系統故障緊急應變計畫進行演練,並有故障原因和處理紀錄檢討改善。
7
重大醫療資安事件持續爆發(1/2)
7
2019年9月
勒索軟體襲擊臺灣醫院及杜拜公司
2019年9月
臺灣22間醫療院所遭到勒索軟體攻擊
2019年12月
勒索軟體破壞法國某醫院6,000台電腦
2019年12月
紐澤西最大的醫院體系遭勒索病毒攻擊
2020年03月
伊利諾伊洲的公共衛生網於新冠病毒期間遭到勒索軟體攻擊
2020年03月
Ryuk勒索軟體在疫情期間仍將醫院作為
攻擊目標
2020年05月
美國科羅拉多州醫院遭勒索軟體攻擊,多個資訊系統停止運作
2020年05月
歐洲最大民營醫院管理及醫療品經銷商遭
勒索軟體攻擊
勒索病毒傷害不中斷
重大醫療資安事件持續爆發(2/2)
2020.07 2020.05 2019.08
2020年07月23日
Garmin 遭勒索軟體攻擊,無預警發布為期兩天的系統維修公告
2020年5月4日,國內多間重要能源及科技公司如中油、台塑及記憶體封測廠力成接連傳出遭勒索病毒攻擊,三間公司都緊急要求員工關機斷網,其中中油的捷利卡、車隊卡及中油PAY等支付工具皆被迫暫停使用
2019年8月29日衛福部轄屬的一間北部醫院遇襲勒索病毒(GlobeImposter 家族),至9月1日止共影響22
家醫院
嚴重的資安事件接踵而來,疫情蔓延不斷,執行資安快篩是防堵威脅的關鍵
8
事件導向的快篩有迫切需求(1/2)
9
事件導向的快篩有迫切需求(2/2)
快篩監控可解決的面向
擴大快篩範圍
快速找到快篩關鍵
簡單易用
持續研析惡意變種
– 惡意程式載入前伴隨無檔案式的攻擊行為,是否能達到提前偵測
– 現行防毒軟體特徵釋出需要一兩天時間,縮短至小時內完成
– 惡意程式變種來規避防毒軟體是常見手法,採用主機和流量數據來辨識惡意態樣是可行之方法,如何降低漏檢率
– 正常和異常流量/日誌混合之中如何判讀與分離
– 應變人員使用快篩進行即時偵測與提升使用者體驗是個挑戰
– 惡意程式變種多樣但本體樣態都會是相似,如何判讀類型會是挑戰
10
11
縱深式資安防禦需要資安託管服務
CLOUD
APP SECURITY
ENDPOINT SECURITY
HOST SECURITY
NETWORK SECURITY
PERIMETER SECURITY
CLOUD SECURITY
PHYSICAL SECURITY
ON-PREM CLOUD
OWNED
CLOUD
SUPPLIER
CLOUD
CCTV
重要資產
系統與資料
ALARM
FSS
Access
Control
Supplier
/CSP
Assurance
Work in
Progress
TEC Due
Diligence
Supplier
Assurance
SLA/PLA’s
Supplier
Rating
UTM Web
Filtering
IDS/IPS
Patch
Management NextGen Firewall
Remote
Access
Security
DDOS
Pentests
External
Pentests
Internal
PAM
NAC
Patch
Management
Compliance
Netflow
Vulnerability
Scanning
Vulnerability
Scanning
Compliance NCSC
Baselines
DLP
Encryption
WAF/DAM
AV-AI
HIDS/HIPS Restricted
MGMT VLAN MFA
EDP
PAM
Patch
Management
NAC
Vulnerability
Scanning
Compliance
Encryption
Patch
Management
AV-AI
Malware MDM
ATP/MDR
Vulnerability
Scanning
Encryption Patch
Management
SDLC
Social
Media
CISP
CSOC
OSSINT
H-ISAC
CERT CSOC/ATP
DLP
SIEM / EDR / Threat Intelligence
Incident Response
Forensics Training
TEC Compliance Supplier Compliance
Cyber Awareness Comms
ISO27001 / CRF
Committee Meeting: IDC, Audit, Cyber, Risk Management
DSP Toolkit / Audits
GDPR
Pentests / Governance Model (IAO/IAA)
面對千變萬化的網路攻擊與入侵方式,惟有透過資安託管服務以建
構多層次縱深防禦,才能有效攔阻。但若沒有完整掌握現況,即使建構再深再厚的防禦網亦無用處。
如此複雜的防禦網路,更
需有統一管理的方案。
12
資安託管服務(MSSP)-落地敲門磚
MSSP興起的因素為人才短缺、監管合規需求、雲端服務的可用性、勒索軟件攻擊,以及中小企業對於安全監控服務的需求。
業務面向驅動
有69%的MSSP採用資安監控中心架構,其中19%採用混合型監控服務,8%完全外包SOC服務,還有4%仍在制定策略
安全運營中心策略
目前整個MSSP市場的增長率為15%的複合年增長率,但全球排名前200的MSSP中正積極投資於下一代服務,包括託管檢測和響應(MDR),SaaS和自動化滲透測試。
增長率
01
02
03
全球資安服務趨勢
MSSP
World Class MSSP
reference: https://www.msspalert.com/
13
MSSP歷年資安服務趨勢
2014年 2016年 2017年 2018年 2019年
IAM • 自適應訪問控制 • 特權訪問管理PAM • 特權訪問管理
PAM(Privileged Access
Management)
雲安全
• 軟體定義的安全SDS
• 雲訪問安全代理CASB
• 雲訪問安全代理CASB
• 微隔離
• 軟體定義邊界SDP
• 雲訪問安全代理CASB
• 微隔離
• 雲工作負載保護平台CWPP
• 軟體定義邊界SDP
• 雲訪問安全代理CASB
• 微隔離
• 雲安全配置管理CSPM
• 雲訪問安全代理CASB(Cloud Access
Security Broker)
• 雲安全配置管理CSPM(Cloud Security
Posture Management)
• 檢測與響應之EDR
端點安全
• 端點檢測與響應EDR
• 端點檢測與響應EDR
• 基於非簽名方法的端點防禦技術
• 端點檢測與響應EDR
• 端點檢測與響應EDR
• 服務器工作負載的應用控制
• 端點檢測與響應EDR
網路安全
• 遏制與隔離將作為基礎的安全策略
• 機器可是別的威脅情報(包括信譽服務)
• 沙箱普遍化
• 遠程瀏覽器
• 詐騙技術
• 用戶和實體行為分析UEBA
• 遠程瀏覽器
• 詐騙技術
• 網路流量分析NTA
• 檢測與響應之欺騙技術
• 檢測與響應之UEBA
• 積極反釣魚
• 商業郵件失陷BEC(Business Email
Compromise)
應用安全
• 交互式應用安全測試
• DevOps的安全測試技術 • 面向DevSecOps的開源軟體安全掃描與軟體分析
• 容器安全
• 自動安全掃描:面向DevSecOps的開源軟體安全掃描與軟體分析
• 容器安全(Container
Security)
數據安全
• Dark Data Discovery
IoT • 針對物聯網的安全網關、代理和防火牆
• 普適信任服務
安全運營
• 大數據安全分析技術是下一代安全平台的核心
• 情資驅動的安全運營中心及解決方案技術
• 可管理檢測與響應MDR
• 檢測響應之MDR
• 符合CARTA的弱點管理
• 符合CARTA的弱點管理
• 安全事件響應
• 安全評級服務(Security
Rating Services)
14
MSSP提供之服務類別與技術
安全架構諮詢顧問
(On-site Consulting)
安全監控 (Managed Security
Monitoring)
資安設備維護 (Perimeter Management of the
Client's Network)
服務與產品推銷 (Product Resale)
滲透測試和弱點評估
(Penetration Testing and
Vulnerability Assessments)
合規監控
(Compliance Monitoring)
MSSP
系統防護
(System Protection)
用戶管控
(User Controls)
基礎設施安全
(Security Infrastructure) 資訊使用(Information
Handling)
端點保護平台和統一端點管理
(Latest Endpoint
Protection Platform
and
Unified Endpoint
Management)
刪除管理者權限(Removing
Administrative Rights
From Windows Users)
■ 日誌監控(Log
Monitoring)
■ 備份還原能力(Backup/Restore
Capabilities)
電子郵件防護(Email Security
Controls)
伺服器保護軟體(Server Protection
Agents)
身分憑證管理(Identity
Life Cycle
Management
That Accounts for User
Onboarding/
Offboarding and Is
2FA-Enabled)
■ 漏洞修補管理(Patch
and Vulnerability
Management)
■ 邊界防護(Perimeter
Security Controls)
安全意識教育訓練(Security
Awareness
Training)
2FA = two-factor authentication
紅色 = 可委外MSSP 黑色 = 無法委外
15
MSSP必備的安全能力
16
事件導向的資安快篩
機關
• 確保終端主機一致性安全設定、服務狀態
• 政策合規管理
• 巨量日誌正規化蒐容、倉儲
• 機器學習分析推演,減少人工研判
• WebPAD監控,免除 高昂值班(7*24)成本
• 落實資安管理法事件通報要求
• 整合GCB,落實資安政策與組態管理
• 緊急應變與異常狀態快速反應
服務台
• 數據彙整分析 • 程序整合介面 • 事件判斷,通報應變報告
Monitor/Control Event/Log
數據智慧
法遵:遵循GCB規範
法遵:日誌蒐容及
威脅分析
雲服務
資安智能監控
偵測 預防 分析 應變
17
資安防駭,精準快篩(1/2)
事件導向資安精準快篩與追蹤監控服務
SECURITY
事件導向的快篩
案件處理追蹤
有效監控評估
對於最新情資通報或公佈之高風險漏洞攻擊事件,即時製作相對應的快篩工具
針對已經遭到感染的設備持續追蹤處理進度,
直到威脅消失
對於現有CIIP ,增加監控可視性輔助,即時掌握威脅動態,降低因攻擊感染被癱瘓的風險
新型態資安共創模式
18
資安防駭,精準快篩(1/2)
事件導向資安精準快篩與追蹤監控服務
SECURITY
事件導向的快篩
案件處理追蹤
有效監控評估
• 事件導向威脅現況
• 威脅影響趨勢分析
• 事件主機列表
• 即時產製事件快篩工具
• 案件處理現況追蹤
• 案件應變與通報
• 多角色顯示資訊
• 多面向有效監控
• 監控主機威脅列表
新型態資安共創模式
19
全方位偵測分析狙殺鏈 以永恆之藍 (EternalBlue )勒索病毒為例
Reconnaisance
Weaponization
Delivery
Exploitation
Installation
Lateral Movement
Encryption & Ransom Demand
ET TROJAN Possible Metasploit Payload Common Construct Bind API (from server) (sid: 2025644)
GPL NETBIOS SMB-DS IPC$ share access (sid: 2102465)
Port Scan RDP (TCP 3389) Port
Opened
BLUEKEEP EXTERNALBLUE SMBGHOST RANSOMEWARE
RDP Service Web Service Email Service
BLUEKEEP to gain privilege
Malware Dropper Remote Access Trojan
Port Scan SMB (TCP 445) Port
Opened EXTERNALBLUE SMBGHOST
Lanch ransomeware (Wannacry, Globeimposter
ET EXPLOIT ETERNALBLUE Exploit M2 MS17-010 (sid: 2024297) ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray (sid: 2024217) ET EXPLOIT ETERNALBLUE Probe Vulnerable System Response MS17-010 (sid:
2025650) ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (Generic Flags) (sid:
2025992) ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style) (sid:
2025649) ATTACK [PTsecurity] Metasploit MS17-010 ETERNALBLUE Exploitation (CVE-
2017-0144) (sid: 10001726) ATTACK [PTsecurity] Unimplemented Trans2 Sub-Command code. Possible
ETERNALBLUE (WannaCry, Petya) tool (sid: 10001254)
掌握攻擊路徑,轉化成關聯規則,及早偵測並進行有效應變
智能關聯
20
8/13/2020 20
醫療領域 電商領域
與商業司合作,針對前十大高風險網購業者中挑選2家快篩服務POC,110年起正式推出服務
與衛福部合作,
納入H-ISAC 體系,109年8月起,預計參與POC醫院共計15家
IOT領域
與台灣物聯網協會合作,針對2-5家營運中的業者物聯網平台進行快篩服務POC
5G領域
透過資安業者(如中華資安/安碁等),與電信三雄洽談5G資安快篩POC
資安共創服務體驗計畫
推動跨領域共創
• AI如何創造資安情資價值
– AI-Ops
• Federated Learning (Privacy-preserved)
• Transfer Learning (Experimental bias remediation )
• Active Learning (Rare-labeling, concept-drift adaption)
– Deep analysis
• Encrypted traffic analysis (抖音 with malicious encrypted patterns, ransomware with complicated patterns)
• Malicious binary classification
• Event-driven events correlation
21
結語
22
Thank you!
