然而,不是internet上所有加密流量都可以解开,Certificate Pinning与CAC Authentication无法解。陈志纬解释,典型的例子Certificate Pinning是application,如Twitter,Skype,Window更新之类,SSLi针对它们有一个预定义的列表,可以设定SSLi-Bypass。CAC Authentication则用于自然人凭证、网络银行数位签章,仅当特定的远程服务器(Specified remote server,SNI)请求CAC时,它才会绕过SSLi。
此外,某些地区的法规是要求不允许解开加密流量,以保障使用端机敏数据的隐私权,如HIPAA,PHI,PCI/DSS等。A10已经作好分类,网管人员只要拉进去,就可以直接使用设定bypass.陈志纬举例,“有公部门需求外对内提供Server Farm服务加解密,且内对外提供办公区User Area流量加解密,但要维持现有构架,并提供URL Filtering,且只要从一、二个部门开始作,渐进式流量导入,这些都是SSLi可以做到的。”
数位化文书流程已经被应用在许多行业,无纸化、高效率、省时的优势,庞大组织的签署,过程涵盖了内、外单位,上下不同层级,非常耗时。Adobe原厂委任技术顾问曹圣庚说:“与传统纸本内部签署工作比较,电子签署可以大幅缩短至1天半的时间就可以完成。”
曹圣庚解释电子签名与数位签名是不同的,其中的差别在于签名法律和法规要求内容。数位签名是大类别“电子签名”的子集。传统电子签名使用各种方式验证签署者,如电子邮件、企业ID或电话验证,但数位签名只使用一种特定方式-签署者会使用凭证是数位ID验证身份,而这个ID通常由可靠第三方凭证授权单位签发。
此外,曹圣庚提醒,数位签名系统也需考虑到文件系统及云端平台,尤其文件有上云需求的情况。“政府单位如果有使用Microsoft 365,One Drive,Teams…数位签署系统要能够与之整合,直接插件使用。”
资安新法之端点响应
资安新法里面提到被核定的A级和B级公务机关一年内,完成资安弱点通报机制导入作业;二年内完成端点侦测机制导入作业。就内文来说,“端点侦测与应变机制,指具备对端点进行主动式扫描侦测、漏洞防护、可疑程序或异常活动行为分析及相关威胁程度呈现功能之防护作业。”
中芯数据技术经理孙维嵘提醒,“这项目重点应该放在‘异常活动行为分析’,这牵扯两问题:一个是行为、一个是分析。”要先记录到数据,才看得到行为。分析由谁分析、分析的准确度,这都是资安新法的重大影响。他说,“如果没有搞清楚,不但加重资安人员的工作负担,更无法提高资安防护的能量。”
目前大家关注的勒索软件,孙维嵘也以日本电玩开发商卡普空为例,提出厘清:“真正的问题是勒索病毒还是黑客攻击?卡普空‘被盗走1TB数据’、‘黑客利用电脑合法工具PowerShell窃取帐号’,以合法工具掩饰非法攻击,这不是单纯的勒索病毒,而是黑客攻击行为。”剖析黑客攻击的重点有二:
黑客如何在单位内部找到重要的主机?他怎么知道哪一台?
黑客如何从中偷取真正重要的档案?他怎么知道档案在哪里?
孙维嵘点出,APT攻击炼的中间三步:放入后门、收集信息并提权、横向扩散,正是解决勒索攻击的重点。“当未知的恶意程序进来时,‘档不住’才是往往让单位损失最大的恶意行为。骇客入侵时会建立后门,并使恶意程序于每次开机皆能启动。放入后门后,有收集信息跟提权的动作,黑客透过工具窃取设备密码。不是暴力破解、彩虹表的方式,这些太容易被发现。现在是MitM(Man-in-the middle)的方式,只要登入过的帐密就可以直接被提取出来。并利用窃取的帐号密码,横向扩散至其他设备,提取数据。”
事前的防御靠情资,情资是恶意程序于其他单位发现后,调查出来的结果。但在这过程,我们可以发现APT攻击事件处理是完全没有情资的。孙维嵘描述,“黑客通常会放3~4支后门,事件处理时如果不知道那些设备有问题,要如何确保能找到它们。分析时,有把握找到那些后门吗?鉴识时,可以找得到源头吗?如果没有,也难保黑客下次用同样的途径进来。”
端点管理需要有四个关键:
看:
系统要能记录恶意程序的行为,且灰色程序的也得收集,避免未知的恶意程序有所行动时,无法进行分析。
人:
需要有充足的人力及技术能量,可以将所有的告警都分析完毕,避免系统有发现异常,但单位没有发现。
快:
能在未知恶意程序有所行为时,能立即行分析,不用再收集其他的数据,即可掌握一切状况,避免有漏网之鱼。
做:
能精准定位恶意程序位置,并且高效率进行清除,而非需要一台一台请人员到场进行处理,以降低单位损害