LOTL攻擊難防、把機密送給生成式AI訓練!?企業資安需進化
今年以來持續困擾企業的勒索軟體攻擊出現了新的攻擊模式,利用企業既有系統管理工具漏洞來發動的就地取材(Living-off-the-Land, LOTL)攻擊,攻擊手法刁鑽讓台灣上市櫃公司也相繼淪陷。而另方面隨著生成式AI模型不斷迭代出新,持續受到駭客與企業愛用,如何防範員工違反政策使用而導致機密資料外洩,也成為企業需面臨的課題。
賽門鐵克SESC結合Mitre Att&ck知識庫 精準偵測可疑行為
駭客攻擊不斷求新求變,從過去常見透過連上殭屍網路來散布惡意程式的方式,如今已轉向利用合法工具程式的漏洞,輸入指令來執行一連串惡意行動,以成功避開防毒軟體的掃描偵測。且現今的勒索攻擊目標已不再只是單純將系統檔案加密,而是直接將機密資料整批匯出。由於現今企業多半已做系統及資料備份,即使駭客將資料加密企業也不會支付贖金,因此駭客轉向威脅將機密資料公開上網來進行勒索,是更慣用的手法。
許多企業系統管理者愛用的工具遭駭客在LOTL攻擊中濫用,先前文章中已介紹過。其中能輕鬆將資料複製備份到雲端的Rclone受到許多人歡迎,而駭客也不例外(見下圖)。去年駭客組織RagnarLocker就曾利用多個系統工具發動攻擊,他們先利用PowerShell下指令關閉本機安全授權程序(LSA),接著利用SoftPerfect Network Scanner來探索本機名稱與網路服務,接著透過Mimikatz與LaZagne來盜取憑證,並進行一連串資訊搜集與探索的行為,了解哪裡有機密資料,最後透過遠端桌面工具及Rclone,下指令將企業網路硬碟中的機密資料打包帶走。

LOTL攻擊之所以難防,是因為這些是系統管理程序中必須使用的工具,無法關閉禁用。而 賽門鐵克端點安全完整版(Symantec Endpoint Security, SESC)中的調適型防護(Adaptive Protection)技術,透過機器學習及行為分析來學習各別企業特定的工具使用行為,當有可疑異常行為出現時即可辨識並示警,以協助企業SOC資安團隊快速掌握重點事件。特別的是, Symantec SESC 除了透過Symantec AI整合全球智慧情資來識別端點行為外,還整合 Mitre Att&ck 攻擊鍊知識庫來比對行為關聯,可以提升可疑行為的辨識準確度並降低誤判。
此外也可透過 Symantec SESC 的應用程式控制功能,先阻擋關閉企業不使用的系統工具,降低被駭客濫用的可能。Symantec亞太區首席資深技術顧問藍文贊也提醒,這些系統工具一旦改版,產生新漏洞的風險就提升,企業須特別留意。
控管風險 讓生成式AI發揮最大價值
觀察最近的攻擊不難發現,駭客的釣魚郵件中不但以流暢的中文撰寫,讓使用者更容易上鉤,且進入到內網也似乎都看得懂哪些是更有價值的商業機密,成功掐住企業營運命脈,這背後可能都是拜生成式AI所賜。對企業而言,許多更是早已嘗試運用在客服、行銷、程式開發以及辦公室文書作業等多元應用,然而企業若對這些生成式AI應用程式完全不設防,將可能出現為了掃描程式漏洞而將自行開發的程式碼外流的風險,或洩露其他機密文件。
對此,賽門鐵克建議應從兩方面著手,在政策與教育訓練方面需新增明確的AI使用政策及定期員工教育訓練,同時在技術面加強存取控制與資料保護。首先透過 Symantec SESC 以及搭配網頁安全服務(Web Security Service, WSS)可以識別正在使用的AI apps,若非企業信任批准的即阻擋存取(如下圖)。也可透過 Symantec WSS agent導引公司外的行動工作者連接到賽門鐵克雲端代理伺服器,進行身分及權限管控,此雲端伺服器直接架設於台灣本地Google Cloud平台,不需連至國外。

Commentaires