APT Malware 外洩 網路攻擊 漏洞與弱點

  • IBM QRadar 使用者行為分析(UBA)

    QRadar UBA 透過Machine Learning 用行為分析找出可疑的人員與帳號

    基於不少重大資安攻擊起源於內部員工帳號密碼的身份權限被盜用,IBM將利用機器學習(Machine Learning)技術分析使用者與帳號行為,檢視企業內員工,甚至供應鏈中的外包合作廠商使用者行為模式,依據異常行為判斷內部權限是否已被竊取,以向管理人員發出警告。

    有鑑於大規模資安攻擊越來越常見起源於部份內部員工的帳號密碼等身分權限遭竊取,IBM QRadar 推出 UBA 使用者行為分析應用,透過分析包括員工、外包商與合作夥伴等內部使用者行為模式,來判定其帳號密碼是否已經被外部攻擊者竊取,進而預防藉由取得內部權限進而發動更大規模的後續攻擊行為。

    UBA Extension



    目前針對商業組織的攻擊行為有高達60%與內部威脅有關,當中又有約四分之一肇因於內部用戶的帳密遭釣魚網站或惡意程式竊取,透過行為模式分析,則可提供 異常使用行為示警,例如某員工首次或在過去未曾嘗試登入的位置登入一個儲存高價值資訊的內部系統,便會向管理人員發出警示通知,提醒加強注意。

    UBA Integration

     

    什麼是 IBM QRadar User Behavior Analytics

    IBM QRadar User Behavior Analytics (UBA)用於全面深入地瞭解用戶異常行為和內部威脅,幫助用戶輕鬆洞悉內部威脅。這是 IBM QRadar Security Intelligence Platform的擴展元件,用於分析內部人員的使用模式,以便確定他們的憑證或系統是否遭到網路罪犯的攻擊。

    該應用包含以用戶為中心的儀表板,按名稱顯示高風險使用者及其異常活動,以及與 QRadar相關的事件。只需按一下滑鼠即可將嫌疑人添加至觀察列表,或允許添加基於文本的注釋以說明觀察結果,還可以深入挖掘底層的日誌和流資料。

    監視高風險活動,發現並管控內部威脅

    IBM QRadar User Behavior Analytics (UBA) 擴展了 QRadar Security Intelligence Platform應用幫助企業輕鬆全面瞭解可能是內部威脅的個人用戶和異常行為,在與SIEM相同的管理介面上,添加了一個以用戶為中心的視圖,應用元件包括受監控使用者的數量、高風險用戶、風險類別、安全事件和攻擊行為、系統狀態以及使用者觀察清單,並依據不同行為進行風險權重加權。

    IBM QRadar UBA 該系統包含三大部分,分別是協助分析並為員工行為風險評分的風險分析概覽、優先排序行為分析儀表板,以及強化既有QRadar安全資料等。

    IBM QRadar User Behavior Analytics (UBA) 使用者風險儀表板

    UBA 1

    Machine Learning 找出偏離之行為

    UBA MachineLearning

     

    IBM QRadar UBA 能快速偵測異常行為在下面各種情境:
    • A user login location is changed
    • A user accesses the network for the first time
    • A user accesses high-value systems for the first time.
    • A user performs an action with rarely used privileges
    • A user accesses a privileged user account for the first time
    • A first-time use of privileges in a user account
    • An account is active at unusual times or from unusual locations
    • A suspended account is used
    • An attempt to access the network from a canceled or a closed user account
    • A restricted or under-watch website (or host) is accessed
    IBM QRadar UBA能偵測帳號密碼被盗用:
    • A login failure
    • An account is used suddenly after a long time
    • A user logs in simultaneously (or very close in time) from multiple locations
    • A user accesses the VPN account from unusual locations
    • A user accesses the VPN account at unusual times
    • A user account is used for an abnormal volume of activity
    • A dormant account that has access to important assets becomes active
    • A user accesses an account that is coming from an anonymous server (or a suspicious jump server)

    為何需要使用 IBM QRadar User Behavior Analytics

    內部威脅占到企業所遭受安全攻擊的大約 60%,其中許多情況是由於內部員工、合同工或合作夥伴成為網路釣魚攻擊或其他攻擊的受害者,而使用戶憑證落入駭客之手所致。

    例如,當用戶使用特權帳戶在新位置第一次登入到高價值的伺服器時,這種新的用戶行為分析應用會向分析人員發出警報。由於 UBA應用解決方案建立了正常用戶行為的基線,因此所有明顯偏離該基線的異常模式都無所遁形。

    內部威脅占到企業所遭受安全攻擊的大約 60%

    IBM QRadar User Behavior Analytics有哪些優點?

    擴展了 IBM QRadar Security Intelligence Platform的功能

    • 包含全新的整合儀表板
    • 結合了用戶行為分析功能
    • 幫助安全分析人員洞悉個人用戶和異常行為

    應對內部威脅

    • 防止惡意的內部人員和網路罪犯使用洩露的憑證
    • 以用戶為重點,檢查異常行為、威脅以及資料洩露情況
    • 全面深入地瞭解高風險用戶及其行為

    提高安全分析人員的工作效率

    • 計算風險分數,對高風險使用者進行排名
    • 使用 QRadar收集的資料,應用現成可用的新行為規則和分析
    • 顯示安全攻擊所涉及的日誌與流資料
    • 檢測異常行為,建立用戶觀察列表
    • 在新的 QRadar選項卡和儀表板中按使用者顯示結果
    • 事件響應解決方案整合,更快地形成閉環
    • 佈署後幾乎立即可以產生結果
  • IBM新一代資安防護架構 協助企業對抗資安威脅

    作者:Information Security 資安人科技網 編輯部 -04/28/2016

    IBM QRadar 扮資安情報與防禦要角

    伴隨著全球基礎網路服務日益普及,駭客組織發動的攻擊也比過去更為猛烈,根據IBM X-Force 威脅情報季度報告指出,現今企業面臨資安挑戰遠比過去更巨大,不僅有來自於外部的各種攻擊事件,公司內部也因有嚴重資料外洩事件,讓資安人員疲於處理各種 資安威脅,造成企業營運上的沈重負擔。

    根據IBM台灣資安技術協理謝明君長期觀察發現,融合多層次攻擊手法的資安威脅事件正逐漸增加 中。一般而言,企業會從資安設備中察覺新手駭客發動的攻擊事件,當資安人員誤以為資安威脅已清除時,其實早有其他駭客組織利用同樣的漏洞入侵,並且悄悄潛 伏工內部網路之中。一旦資安人員缺乏進行深層事故調查與根本原因分析的概念,將難以發現潛藏於企業內部之中的惡意程式,根據資安報告指出惡意程式平均可在 企業內部潛伏長達1年以上,成為資料外洩事件不斷發生的主因。

    在駭客組織發起的攻擊之外,惡意員工亦是造成資安事件不斷發生的主因。 IBM台灣資安技術協理謝明君發現部分有擁有系統管理員權限的員工,或者有意竊取商業機密的同仁,可能會透過安裝後門程式的方式,以遠端連線方式躲過資安 設備檢查,藉此存取公司內部機密資料,進而造成企業極大的經濟損失。IBM認為要降低資安威脅事件帶來的衝擊,必需要從六大面向著手,才能強化整體資安防 禦體制,保護得來不易的研發成果。

    六大面向著手 強化整體資安防禦體制

    首 先,企業應該要回歸資安基本面,資訊人員需定期安裝修補程式,因為從現今全球各地發生的許多攻擊事件來看,多半都是沒有修補資訊系統存在各種漏洞,才讓駭客組織有可乘之機,並且造成許多嚴重個資外洩事件。因此,IBM台灣資安技術協理謝明君建議企業應該要落實前述資安基本工作,並且建置一套弱點管理系統, 逐步強化自身資安體質,降低駭客入侵的發生機率。

    第二個重點,企業應進行完整的事件搜集,建立內部SOC平台,才能精準掌握機密資料的 存取狀況。資訊人員若沒有進行日誌搜集並做關連性分析時,勢必無法發現前述躲藏在公司內部中的各種惡意程式,導致斥資購買的各種資安設備,無法發揮預期中 的效益,讓公司陷入不斷重複的資安威脅之中。部分企業會購買可提供資安監控與事件回應機制的服務,只是此類服務多半僅能定期提供報表,顯示公司內部中的前 10大攻擊來源、事件類型或流量等資訊,但若資安人員未能據此進一步進行深層調查,將依然無法發現前述多層次的進階攻擊事件,也會導致寶貴資安預算白白浪 費。

    IBM台灣資安技術協理謝明君認為第三面向,則是應該要強化使用者資安意識訓練,減少用戶端因為人為疏忽造成的資安事件。一般而言,政府單位或金融、醫療業等,因受到主管機關要求,較常進行社交工程演練,使用者資安意識較高,自然較少發生資安事件。相較之下,製造業通 常較少進行教育訓練,駭客組織只需要透過釣魚郵件,即可輕鬆攻破資安防護往。從調查結果發現,資安專家均認為培養使用者良好資安意識,是對付資安威脅好投資,所以企業在添購資安設備之餘,也該規劃定期規劃資安教育課程,才可減少必不要的人為疏忽。

    至於第四件重要工作,即是做好特權帳號管理。特權帳號是資訊系統中權限最高的帳號,能存取企業內部的各種重要商業機密,但即使是資安規範嚴格的大型企業,也多半未確實做好職權區分(Separation of duty),或特權帳號的管理不夠紮實,常見到多人共用同一組系統管理者帳號密碼,若有一人離職可能就會造成安全缺口。此種狀況,在中小型製造業中更為明顯,多數資訊人員為了工作上的方便,往往會給維護廠商人員最高系統權限,所以駭客組織只要攻破合作夥伴的防禦機制,便能繞過企業的資安防護網,順利且取各種機密資料。另一個常見問題,便是資安人員沒有做好帳號的生命週期管理,以致於離職員工還能夠利用舊帳號登入系統,IBM認為唯有人事管理系統需能與其他系統連動,才能避免上述狀況發生。

    在勒索軟體大行其道的年代,許多企業的備份工作因不夠完善,或即使有做備份,卻沒有進行復原測試,以致於面對前述事件時,只能被迫支付贖金,避免系統被毀於一旦。為此,建立一套完善備份復原機制絕對有其必要性,有助於減少勒索軟體帶來的衝擊,保護商業機密的安全。

    至於最後一點,則是進行事件稽核記錄,找出異常連線行為。多數資安設備均會提供日誌管理功能,資訊人員若能夠善用日誌管理或資安事件管理系統,針對不同事件稽核記錄進行分析,或者與專業服務廠商合作,由資安顧問協助日誌的判讀,即可盡早早發現可疑行為,降低企業營運的資安風險。

    IBM資安產品線齊全 即時抵抗駭客攻擊

    企 業無法阻擋駭客攻擊,主要是缺乏系統性的資安架構,多數資安人員均是在出現某種資安需求時,僅就該問題規劃相對應的資安架構,很容易造成投資的浪費。 IBM台灣資安技術協理謝明君建議企業應以關鍵資產為核心,先從了解公司最需要保護的系統著手,再藉此擬出資安投資的優先順序,自然可以達到優化工作流程 與保護商業機密的目標。以時下企業關注的BYOD趨勢為例,企業若沒有一套全面性的資安策略,每當有新裝置要進入內網時,便得就重新提出管理辦法,導致員工在使用行動設備或面臨許多管制,反而失開放BYOD的目的便利性。

    IBM台灣資安技術協理謝明君認為企業有一套完整且清楚的資安架構 時,便能夠因應資安趨勢變化,快速調整資安設備部署方式,利用有限預算抵禦內外攻擊。而為協助企業對抗各種資安威脅,IBM早建構一套完整資安產品線,讓 資安人員能夠依照企業營運需求,逐步添購所需的資安設備,保護多年來辛苦累積的研發成果。

    IBM資安架構圖是以IBM QRadar智慧資訊安全解決方案(Security Intelligence Platform)為核心,該平台是結合日誌分析、漏洞管理與掃瞄資料外洩鑑識的 SIEM (Security Information and Event Management)管理平台,可作為小型至大型企業組織安全營運中心內的核心解決方案,透過收集、正規化可用網路資料,與網路資料彼此的關聯性,進而 產生各種有用的安全性情報。

    該平台能收集來自防火牆、虛擬私有網路、入侵偵測系統、入侵防護系統等發生的安全性事件,以及身分識別和存取管理產品及漏洞掃描器的內容資料、應用程式的各種日誌,並且使用企業預先設定好的客製化規則,將些資料整併成為可管理的攻擊事件清單,作為資安人員對抗 駭客攻擊的參考。

    IBM台灣資安技術協理謝明君更進一步說明,網頁服務成為市場主流的狀況下,早已被駭客組織列為首要攻擊目標,特別是多數應用系統存在不少弱點,以致駭客無須花費太多功夫,即可取得各種機敏資訊或客戶資料,進而危及整個企業的安全。而IBM AppScan網頁應用程式弱點掃描軟體可協助資安團隊,測試、稽核開發中或已上線的Web應用系統,檢查是否隱含最新資安威脅,如OWASP Top10、Adobe Flash、JavaScript及AJAX等漏洞,並且能依照企業營運需求,設定全面的應用程式掃描範圍來找出弱點,再依照詳細結果以簡化補救措施。特 別是該軟體提供超過40種立即可用的法規遵循報表,滿足因應PCI、GLBA、及HIPPA等法規要求,大幅降低手動測試可能產生的測試盲點弱點。

    此 外,在行動裝置時代來臨之際,IBM 也有專為企業設計的MaaS360行動管理平台,該平台具備跨平台管理、保護行動設備的功能,如行動設備管理、行動應用程式管理、應用安全、安全郵件服 務、安全應用程式市集,安全檔案共享等。由於IBM MaaS360是一項屬於SaaS的雲端服務,企業用戶無須在公司內部架設伺服器,即可迅速取得保護行動裝置、商業機密安全的公有雲服務,能滿足不同型態 的企業需求。

    為有效掌握全球資安趨勢變化,IBM 亦有匯集多位資安專家而成的X-Force研發團隊,可隨時監控最新威脅趨勢變化,包括漏洞、洩漏、主動攻擊、病毒和其他惡意軟體、垃圾郵件、網絡釣魚及 惡意的網頁內容,並且會主動分析動態網路威脅資料,同時透過與IBM資安設備相互串連的方式,協助企業用戶快速查看威脅、獲取深入分析和脈絡環境、設定安 全事件的優先順序,預防或最小化資安威脅。因此為了大幅增加資安聯防的效益,IBM同時也推出X-Force Exchange為雲端型資安威脅情報分享平台,提供使用者快速研究最新的全球資安威脅、彙整可靠情報,讓企業享有更完善的保護機制。 

  • 重要檔案成人質,小心加密型勒索軟體 CERBER 入侵你的電腦

    作者 數位時代 | 發布日期 2016 年 04 月 23 日

    CERBER 1

    小心你的電腦被駭客勒索!台灣有使用者突然發現電腦被入侵,整台電腦和 Dropbox 的檔案全被加密,唯一跳出的訊息是:「你的文件、照片、資料庫和其他重要檔案都已經被加密!(Your documents, photos, databases and other important files have been encrypted!)」

    橫行全球 的加密型勒索軟體已悄悄入侵台灣,一名使用者的電腦 20 日被俄國地下組織所販賣的加密勒索軟體 CERBER 攻陷,電腦跳出內含說明網址的純文字訊息,告知「電腦檔案已被加密,需以比特幣購買解密工具」。雖然電腦仍可正常運作,但所有重要檔案包含文字、圖片和影 片檔都被加密,需在 5 天內需以比特幣付款近 600 美元(約台幣 1 萬 8 千元)才可贖回檔案。

    勒索軟體不斷進化,受害人數攀升
    這已經不是第一例,加密型勒索軟體去年開始蔓延到台灣,PTT 上也有網友遇到同樣的問題,且根據趨勢科技統計,2016 年 Q1 的受害案件就較 2015 年 Q4 增加了近一倍。雖然受害人數持續攀升,但除了拿到駭客手上的解密金鑰,目前尚無其他方法可破解。
    勒 索軟體(Ransomware)從 2005 年就已出現,剛開始以鎖定螢幕做為勒索手法;2013 年開始出現加密型勒索軟體透過郵件附件、網頁惡意廣告等方式入侵電腦後,再用金鑰加密檔案。根據加密方式不同,勒索軟體也有不同名稱,如 CryptoL0cker、CryptoWall、CTB Locker 和 CERBER 等。

    CERBER 2

    使用比特幣付款,躲警方追查
    近期這款加密型勒索軟體 CERBER 不僅有語言選擇和語音等新功能,也搭上比特幣潮流,贖金僅能以比特幣支付。在此案例中,需花費 1.25 比特幣(約台幣 17,804 元)才能贖回檔案,5 天後贖金翻倍成 2.5 比特幣(約台幣 35,608 元)。
    對 於駭客採用比特幣的原因,趨勢科技全球核心技術部資深協理張裕敏曾分享,相較於傳統付款方式讓警察可循線找到駭客,近期勒索軟體(如 CERBER)要求受害者以比特幣支付贖金,解決了勒索軟體金流以及駭客被追蹤的風險,也因此開始大肆流行。趨勢科技資深技術顧問簡勝財也提到,越來越多 勒索軟體要求使用者用翻牆軟體與比特幣付款,就是為了躲避警方追查。

    遭勒索軟體入侵怎麼辦?只能碰運氣
    簡 勝財表示,加密勒索軟體使用高位元數的金鑰加密,以目前的電腦運算能力不太可能自行破解。預防是對抗勒索軟體最有效的方式,簡勝財建議,勒索軟體常透過郵 件和網頁攻擊,盡量不要點來路不明的信件、附件和連結;網頁中的惡意廣告雖然比較難預防,但可透過修補系統、軟體和瀏覽器漏洞以及搭配防護軟體,盡量減低 遭勒索軟體入侵的機會。


    若真不幸遭勒索軟體綁架,僅能等待警方破獲駭客集團、公布解密金鑰,或試試網路流通過去警方破獲的舊解密金鑰,但 兩種方式都得碰運氣。如此看來,唯一解或許是付贖金,然而簡勝財並不建議這麼做,一來不僅助長犯罪,二來駭客不見得會真的提供解密方式,「還要看駭客是否 有良心」。對廣大受害者而言,相信駭客有良心和等到解密金鑰,哪個比較值得一試呢?

     

    IBM Security Trusteer Apex 能協助企業個人有效防止勒索軟體的執行

  • 2016勒索軟體更狡詐 透過網路廣告散佈並將網頁系統加密

    作者:資安人 編輯部 -12/09/2015

    前一陣子媒體持續報導勒索軟體的猖獗,但對未曾遭遇過的人來說恐怕仍然無感。根據專家指出今(2015)年勒索軟體受害數量比起去年增加3倍,不只感染數量增多,包括透過網路廣告輪播機制的攻擊手法,以及出現中文的勒索軟體等都與過去勒索軟體攻擊方式大為不同,資安廠商更稱2016為網路勒索之年,被加密的檔案、隱私個資等都可能成為網路犯罪者用來勒索的工具。

    以受害數量來看,趨勢科技資深技術顧問簡勝財表示過去台灣感染勒索軟體的電腦並不多,直到去年第4季開始出現一波感染高峰,以及今年4月~6月、9月與10月幾乎每天都有傳出受害案例。受害的不只是個人用戶,企業也遭殃,甚至有一台電腦遭加密後,透過共享磁碟加密到其他檔案的案例。

    以感染途徑來看,過去勒索軟體是透過電子郵件中的附件或連結來散佈,或透過瀏覽器連結到惡意網站的方式感染,但在今年第三、第四季卻看到在合法網站上的廣告輪播機制遭放入含有惡意程式的廣告,該廣告利用flash弱點來感染使用者電腦。此外,過去勒索軟體的訊息大多以英文為主,如今也傳出中文的勒索訊息(如圖)。上述都是造成2015年勒索軟體受害案例激增的原因。

    Crypt0LOcker

    圖說:勒索軟體訊息已出現中文版

    甚至今年初國外也傳出某金融業網頁應用系統遭駭客加密後勒索的案例,該網頁系統程式碼遭竄改,惡意程式將要輸入系統的資料加密,並在資料匯出時解密,金鑰儲存在遠端伺服器透過HTTPS連線以避免被偵測,等數月後備份資料被新的資料庫版本覆蓋時駭客移走金鑰,資料庫便無法被解密導致系統無法運作,駭客再緊接著勒索。IBM認為此類攻擊相當危險,即使有備份也無法還原被加密的資料,值得觀察未來是否被擴大利用。

    勒索軟體在2016年將繼續有新的演變,犯罪集團不只是將檔案加密來勒索,可能透過竊取來的個資或隱私資料,針對個人進行名譽上的勒索,例如前陣子美國偷情網站Ashley Madison被入侵,會員資料遭外洩,不少人接著就收到勒索郵件。因此趨勢科技估計2016年此類攻擊將更個人化針對特定人士與企業。

    在2015第四季IBM X-Force威脅情報季度報告中,IBM也指出勒索軟體為2015四大趨勢之一。IBM資安緊急應變處理服務(ERS)團隊指出,系統中未修補的漏洞、網頁偷渡式感染、針對特定對象的魚叉式釣魚郵件是勒索軟體三大感染媒介,因此呼籲需建立安裝修補程式的程序,以及透過教育訓練強化使用者電腦安全實務。

    此外,專家也呼籲備份的重要,畢竟檔案一旦被加密幾乎很難救回,企業備份最好要備三份,透過NAS、離線備份,或異地備份等,同時不只備份,還需要進行復原測試,才能確保系統資料正常運作。

    IBM Security Trusteer Apex 能協助企業個人有效防止勒索軟體的執行

  • 金融業提高警覺! 新惡意程式GozNym幾天內從北美銀行盜走數百萬美元

    金融業提高警覺! 新惡意程式GozNym幾天內從北美銀行盜走數百萬美元

    ITHOME 文/陳曉莉 | 2016-04-18發表

    IBM X-Force研究團隊上周揭露了一隻結合Nymaim及Gozi ISFB的木馬程式GozNym,該木馬程式已攻擊24家位於美國及加拿大的銀行,只花了短短的幾天便盜走數百萬美元。


    IBM X-Force指出駭客集團融合了Nymaim與Gozi特色打造了新的木馬程式GozNym,它擁有Nymaim的隱形與持久優點,同時利用Gozi ISFB竊取金融資訊的能力,鎖定22家美國銀行、信用合作社與電子商務平台,以及2家加拿大金融機構,透過操縱網頁程序進行網路銀行詐騙攻擊。

    Nymaim與Gozi ISFB皆為木馬程式,其中,Nymaim最主要的功能為勒索,同時也是一隻下載木馬,可下載諸如Ursnif金融木馬等其他惡意程式;Gozi ISFB則是一隻金融木馬程式,當被注入瀏覽器時,駭客即可監控使用者的瀏覽行為。

    X-Force表示,經營Nymaim的集團融合了Nymaim與Gozi ISFB的程式碼,建立了新的GozNym木馬程式,它擷取Nymaim的隱形與持久優點,同時利用Gozi ISFB竊取金融資訊的能力,成就了一款強大的木馬程式,並針對北美的銀行展開攻擊。

    調查顯示,GozNym鎖定22家的美國銀行、信用合作社與電子商務平台,以及2家的加拿大金融機構,它能夠操縱網頁程序,進行網路銀行詐騙攻擊。

    根據富比士(Forbes)的報導,操縱GozNym的駭客集團來自東歐,今年4月初在短短的3天內便盜走了400萬美元。

     

    IBM Security Trusteer Apex 能協助企業個人有效防止勒索軟體的執行