WESTCON TW7月26日駭客就地取材LOTL攻擊崛起:企業如何抵禦合法工具變武器?LOTL攻擊難防、把機密送給生成式AI訓練!?企業資安需進化今年以來持續困擾企業的勒索軟體攻擊出現了新的攻擊模式,利用企業既有系統管理工具漏洞來發動的就地取材(Living-off-the-Land, LOTL)攻擊,攻擊手法刁鑽讓台灣上市櫃公司也相繼淪陷。而另方面隨著生成式AI模型不斷迭代出新,持續受到駭客與企業愛用,如何防範員工違反政策使用而導致機密資料外洩,也成為企業需面臨的課題。 賽門鐵克SESC結合Mitre Att&ck知識庫 精準偵測可疑行為駭客攻擊不斷求新求變,從過去常見透過連上殭屍網路來散布惡意程式的方式,如今已轉向利用合法工具程式的漏洞,輸入指令來執行一連串惡意行動,以成功避開防毒軟體的掃描偵測。且現今的勒索攻擊目標已不再只是單純將系統檔案加密,而是直接將機密資料整批匯出。由於現今企業多半已做系統及資料備份,即使駭客將資料加密企業也不會支付贖金,因此駭客轉向威脅將機密資料公開上網來進行勒索,是更慣用的手法。 許多企業系統管理者愛用的工具遭駭客在LOTL攻擊中濫用,先前文章中已介紹過。其中能輕鬆將資料複製備份到雲端的Rclone受到許多人歡迎,而駭客也不例外(見下圖)。去年駭客組織RagnarLocker就曾利用多個系統工具發動攻擊,他們先利用PowerShell下指令關閉本機安全授權程序(LSA),接著利用SoftPerfect Network Scanner來探索本機名稱與網路服務,接著透過Mimikatz與LaZagne來盜取憑證,並進行一連串資訊搜集與探索的行為,了解哪裡有機密資料,最後透過遠端桌面工具及Rclone,下指令將企業網路硬碟中的機密資料打包帶走。LOTL攻擊之所以難防,是因為這些是系統管理程序中必須使用的工具,無法關閉禁用。而 賽門鐵克端點安全完整版(Symantec Endpoint Security, SESC)中的調適型防護(Adaptive Protection)技術,透過機器學習及行為分析來學習各別企業特定的工具使用行為,當有可疑異常行為出現時即可辨識並示警,以協助企業SOC資安團隊快速掌握重點事件。特別的是, Symantec SESC 除了透過Symantec AI整合全球智慧情資來識別端點行為外,還整合 Mitre Att&ck 攻擊鍊知識庫來比對行為關聯,可以提升可疑行為的辨識準確度並降低誤判。 此外也可透過 Symantec SESC 的應用程式控制功能,先阻擋關閉企業不使用的系統工具,降低被駭客濫用的可能。Symantec亞太區首席資深技術顧問藍文贊也提醒,這些系統工具一旦改版,產生新漏洞的風險就提升,企業須特別留意。 控管風險 讓生成式AI發揮最大價值觀察最近的攻擊不難發現,駭客的釣魚郵件中不但以流暢的中文撰寫,讓使用者更容易上鉤,且進入到內網也似乎都看得懂哪些是更有價值的商業機密,成功掐住企業營運命脈,這背後可能都是拜生成式AI所賜。對企業而言,許多更是早已嘗試運用在客服、行銷、程式開發以及辦公室文書作業等多元應用,然而企業若對這些生成式AI應用程式完全不設防,將可能出現為了掃描程式漏洞而將自行開發的程式碼外流的風險,或洩露其他機密文件。 對此,賽門鐵克建議應從兩方面著手,在政策與教育訓練方面需新增明確的AI使用政策及定期員工教育訓練,同時在技術面加強存取控制與資料保護。首先透過 Symantec SESC 以及搭配網頁安全服務(Web Security Service, WSS)可以識別正在使用的AI apps,若非企業信任批准的即阻擋存取(如下圖)。也可透過 Symantec WSS agent導引公司外的行動工作者連接到賽門鐵克雲端代理伺服器,進行身分及權限管控,此雲端伺服器直接架設於台灣本地Google Cloud平台,不需連至國外。 接著透過 Symantec DLP進行上傳內容或檔案的檢查,違反政策即可阻擋,而CASB則能協助持續監控各種AI apps的使用,並套用精細的政策控制措施來管理,Symantec DLP 與CASB兩者結合可以控管各種雲端服務或AI apps的存取。賽門鐵克藉由「發現」組織內使用的AI apps、「分析」生成式AI apps的風險、「監控」apps的使用情況,以及「控制」AI apps的使用,來防護生成式AI並且符合公司治理與法規遵循要求。 最後不論是使用雲端AI apps或是在地端自行建置及訓練AI模型,賽門鐵克企業雲(Symantec Enterprise Cloud)能提供從地端到雲端以及支援混合架構的安全防護,從保護員工上網安全、保護企業機密資料到偵測端點上的各種可疑行為,透過賽門鐵克的整合架構,可以支援在單一介面下實施一致性的管理政策,獲得最完整的可視性,讓威脅無所遁形。
LOTL攻擊難防、把機密送給生成式AI訓練!?企業資安需進化今年以來持續困擾企業的勒索軟體攻擊出現了新的攻擊模式,利用企業既有系統管理工具漏洞來發動的就地取材(Living-off-the-Land, LOTL)攻擊,攻擊手法刁鑽讓台灣上市櫃公司也相繼淪陷。而另方面隨著生成式AI模型不斷迭代出新,持續受到駭客與企業愛用,如何防範員工違反政策使用而導致機密資料外洩,也成為企業需面臨的課題。 賽門鐵克SESC結合Mitre Att&ck知識庫 精準偵測可疑行為駭客攻擊不斷求新求變,從過去常見透過連上殭屍網路來散布惡意程式的方式,如今已轉向利用合法工具程式的漏洞,輸入指令來執行一連串惡意行動,以成功避開防毒軟體的掃描偵測。且現今的勒索攻擊目標已不再只是單純將系統檔案加密,而是直接將機密資料整批匯出。由於現今企業多半已做系統及資料備份,即使駭客將資料加密企業也不會支付贖金,因此駭客轉向威脅將機密資料公開上網來進行勒索,是更慣用的手法。 許多企業系統管理者愛用的工具遭駭客在LOTL攻擊中濫用,先前文章中已介紹過。其中能輕鬆將資料複製備份到雲端的Rclone受到許多人歡迎,而駭客也不例外(見下圖)。去年駭客組織RagnarLocker就曾利用多個系統工具發動攻擊,他們先利用PowerShell下指令關閉本機安全授權程序(LSA),接著利用SoftPerfect Network Scanner來探索本機名稱與網路服務,接著透過Mimikatz與LaZagne來盜取憑證,並進行一連串資訊搜集與探索的行為,了解哪裡有機密資料,最後透過遠端桌面工具及Rclone,下指令將企業網路硬碟中的機密資料打包帶走。LOTL攻擊之所以難防,是因為這些是系統管理程序中必須使用的工具,無法關閉禁用。而 賽門鐵克端點安全完整版(Symantec Endpoint Security, SESC)中的調適型防護(Adaptive Protection)技術,透過機器學習及行為分析來學習各別企業特定的工具使用行為,當有可疑異常行為出現時即可辨識並示警,以協助企業SOC資安團隊快速掌握重點事件。特別的是, Symantec SESC 除了透過Symantec AI整合全球智慧情資來識別端點行為外,還整合 Mitre Att&ck 攻擊鍊知識庫來比對行為關聯,可以提升可疑行為的辨識準確度並降低誤判。 此外也可透過 Symantec SESC 的應用程式控制功能,先阻擋關閉企業不使用的系統工具,降低被駭客濫用的可能。Symantec亞太區首席資深技術顧問藍文贊也提醒,這些系統工具一旦改版,產生新漏洞的風險就提升,企業須特別留意。 控管風險 讓生成式AI發揮最大價值觀察最近的攻擊不難發現,駭客的釣魚郵件中不但以流暢的中文撰寫,讓使用者更容易上鉤,且進入到內網也似乎都看得懂哪些是更有價值的商業機密,成功掐住企業營運命脈,這背後可能都是拜生成式AI所賜。對企業而言,許多更是早已嘗試運用在客服、行銷、程式開發以及辦公室文書作業等多元應用,然而企業若對這些生成式AI應用程式完全不設防,將可能出現為了掃描程式漏洞而將自行開發的程式碼外流的風險,或洩露其他機密文件。 對此,賽門鐵克建議應從兩方面著手,在政策與教育訓練方面需新增明確的AI使用政策及定期員工教育訓練,同時在技術面加強存取控制與資料保護。首先透過 Symantec SESC 以及搭配網頁安全服務(Web Security Service, WSS)可以識別正在使用的AI apps,若非企業信任批准的即阻擋存取(如下圖)。也可透過 Symantec WSS agent導引公司外的行動工作者連接到賽門鐵克雲端代理伺服器,進行身分及權限管控,此雲端伺服器直接架設於台灣本地Google Cloud平台,不需連至國外。 接著透過 Symantec DLP進行上傳內容或檔案的檢查,違反政策即可阻擋,而CASB則能協助持續監控各種AI apps的使用,並套用精細的政策控制措施來管理,Symantec DLP 與CASB兩者結合可以控管各種雲端服務或AI apps的存取。賽門鐵克藉由「發現」組織內使用的AI apps、「分析」生成式AI apps的風險、「監控」apps的使用情況,以及「控制」AI apps的使用,來防護生成式AI並且符合公司治理與法規遵循要求。 最後不論是使用雲端AI apps或是在地端自行建置及訓練AI模型,賽門鐵克企業雲(Symantec Enterprise Cloud)能提供從地端到雲端以及支援混合架構的安全防護,從保護員工上網安全、保護企業機密資料到偵測端點上的各種可疑行為,透過賽門鐵克的整合架構,可以支援在單一介面下實施一致性的管理政策,獲得最完整的可視性,讓威脅無所遁形。
Comments