【台湾资安大会直击】研发用端点电脑可能存在难以掌控的内部威胁,精品科技呼吁要强化相关管制措施

发布于2019-04-15 06:50:48

导读: 图片来源: iThome针对现今企业面临的各式威胁,可说是内忧外患,不只是来自外部骇客的攻击,同时还有存在于内部的威胁。但无论是内忧还是外患,在许
导读: 企业对于公司的机密,可能会偏重于对外的防御,而较轻忽研发单位的开发环境,精品科技资安顾问陈伯榆认为,如何保护开发用的端点电脑,免于成为资料外泄的管道,是现今企业需要特别正视的问题。
图片来源: 

iThome

针对现今企业面临的各式威胁,可说是内忧外患,不只是来自外部骇客的攻击,同时还有存在于内部的威胁。但无论是内忧还是外患,在许多的攻击事件中,窃取公司的机密,才是攻击者发动的主要目的,因此,在2019台湾资安大会上,精品科技资安顾问陈伯榆表示,防范资料外泄是企业首要工作项目之一,尤其是与公司命脉有关的研发单位(R&D),很可能会是企业相当容易忽略的环节。

我们常说家贼难防,近年来企业经常遭遇高阶主管被同行挖角,主管跳槽后便一并将机密流出,导致公司蒙受重大损失的情况,可说是时有所闻。因此,企业对于拥有极高权限的主管,也开始加以防范,然而,对于同样握有公司核心机密的开发团队,却未必会同等重视可能隐含的威胁。其实,除了上述由内部员工泄密的情况,陈伯榆说,随着骇客多年来的手法演进,内部威胁也可能因为夹带来恶意攻击行为,而成为骇客从中窃取公司机密的管道。

资料外泄威胁态势超越网络攻击,仅次于极端气候与天灾

由于资料外泄对于企业的损害极为严重,可能导致公司的机密制程遭到对手复制,或是在现今各国的个资保护法规下,面临高额罚款的情况。其中,又以公司内部机密被窃取的问题,影响最为直接。但这样的情势到底有多严重呢?陈伯榆引用了非营利组织世界经济论坛(The World Economic Forum,WEF)的全球风险报告内容,表示资料外泄的危机,不仅在2017年到2019年之间,是历年来的前5大风险里,年年榜上有名,在2019年1月推出的最新报告里,这样的威胁型态所带来的风险,严重程度更超过了网络攻击。

你知道吗?资料外泄(遭窃)的严重程度,世界经济论坛(WEF)认为,自2017年以来,仅次于极端气候事件、天然灾害、大规模恐怖攻击危机。到了2018年,网络攻击情势加剧,列入该组织报告之前的前5名,但在今年则与资料外泄的情势互有消长,资料外泄带来的风险又超过了网络攻击。

从陈伯榆所引述世界经济论坛的观点中,2019年全球10大危机中,前3名为极端气候、减缓与适应气候变迁失败,以及天然灾害等。资料外泄与网络攻击分别为第4名与第5名,这两种情况所衍生的潜在风险,程度也超越了人为的环境灾害、大规模迁徙、生物多样性与生态圈的瓦解、水资源危机,还有主要经济市场的资产泡沫化等现象。

对于有心收集情资的人士而言,他们又会对那些资料最感兴趣呢?陈伯榆引用了美国国家反情报安全中心(NCSC)2018年发表的外国经济网络间谍报告(Foreign Economic Espionage in Cyberspace Report),指出最受到这些有心人士注目的情资,来源涵盖了能源(含替代能源)、生物科技、国防、环境保护、高科技制造业,以及资讯通讯技术等6大领域。换言之,这些收集者的目标可说是面向了上述重要型态的产业。

而在上述的6种领域里,研发或研究部门都在该产业的公司行号中,可说是占有最为关键的角色,左右这些企业于业界的影响力。陈伯榆特别提及,这种单位企业相当难以管理,为此,他们也针对这样的现象,提出有关的解决方案,在不影响研发的流程之下,保护公司相关的机敏资料。

研发人员的端点电脑成为资料保护死角

陈伯瑜指出,开发工具可能是最大的机密泄露源头。虽然,企业通常都会运用AD、群组原则(GPO),以及各式网络管制等措施,加以控管,可是大部分的开发工具,往往需要相当高的权限才能正常运作,这样的情况下,原本在IT环境中的管理机制,难以兼顾这类软件的应用需求,企业可能只好采取放行的做法。再加上许多开发工具要价不斐,软件本身可能还要定期连线到原厂,验证授权的有效性,因此企业可能无法将开发电脑建置在不能对外连线的封闭环境中。

在研发环境中,陈伯瑜将软件开发工程师大致区分成两种类型,一种是开发者的电脑透过RJ-45网络线或是JTAG连接埠,与开发板连接,电脑里存放程式码,开发者使用整合式开发环境(IDE)应用程序进行开发作业。

另一种则是在高科技制造业较为常见的方式,开发工程师在电脑上,利用硬件描述语言(HDL)工具、模拟器、电子设计自动化(EDA)工具、印刷电路板(PCB)设计工具等,进行开发工作,这种型态的开发方式往往是因应特定机器的控制,甚至这些研发用的电脑会进一步会连接到数据库,以及SVN或Git版本控制系统上,汇集工程师的开发成果。

但无论是上述的那一种开发型态,工程师开发所使用的端点电脑,很有可能成为资料泄露的管道。陈伯瑜指出,企业过往都是在桥接端进行相关的防御,但采取这样策略的前提,是认为在开发环境里,人员和装置都是良善的,因此,对于开发用的端点电脑,长期以来普遍缺乏检视其状态的做法。

从开发者存取的行为,采取对应资安与稽核措施

因此,在企业的管理上,就要进一步厘清,开发作业上需要放行的正常行为,与应该管制与禁止的项目。例如,研发的成果若是允许分享到另一个部门,程式码能够提供加以运用,还是只能检视片段内容等等。

陈伯榆举出在工程师的研发电脑上,可能会面临的风险。从开发的过程来看,包含会呼叫系统的DLL、网络通讯、命令提示字元与PowerShell,以及连接外部硬件装置等,而据他所知,有些研发工程师还会用各式的屏幕截图工具,截取企业开发的成果。

而在限制的部分,像是程式码的复制与贴上,如果完全不设限,就可能成为资料外泄的管道。但是,研发工程师在除错的过程中,很可能撷取部分开发的内容,上网查询资料,一味禁止显然会影响相关的研发流程,要采取什么策略,便成为企业需要面临的难题。

再者,研发过程中,工程师可能会以处理程序之间通讯(IPC)的方式,呼叫各种应用程序,通常这样的情况下,被呼叫的应用程序也同样继承了相同的执行权限,导致能够略过某些IT的管制措施,传送资料到外部,企业也需要加以防范可能衍生的问题。

在执行SVT防护系统展示的过程中,陈伯榆拿出了一款企业里常见的Teensy开发板,并尝试将开发电脑上的研发资料,传送到这个开发板上。

陈伯榆以精品自己推出的解决方案SVT为例,他们会在不影响研发者主要作业流程的情况下,限制像是打印、屏幕截图,以及IPC呼叫的行为,对于除错所需复制程式码的部分,该系统则是透过政策的方式,由管理者限缩能够复制的文字内容长度,虽然这样的做法,还是难以防范分成多次剪下、贴上,但他们也搭配事件记录的机制,若是从SVT中发现开发工程师频繁的执行这类行为,管理者就能进一步了解工程师操作的原因。

陈伯榆以他们收集客户需求后,开发出的SVT系统为例,主要包含了管制开发人员部分可能会泄密的功能,以及共用对象的规范。

除此之外,为了规避公司的稽核制度,工程师很可能会采取某些措施,包含了程式码回避与混淆手法,或是利用企业对于网络环境规范的不足,采取DNS通道传送资料到外部。陈伯榆表示,他曾经看过有些企业的工程师,竟一口气用了6道混淆程序处理程式码。在这样的情况下,他认为企业现有的资安机制,很难察觉异状。因此,陈伯榆指出,光是靠他们解决方案的管制措施,并不能完全防范各式外泄手法,而是也要搭配端点电脑的事件记录追纵才行。其实企业对于这类电脑的状态监控,从中发现可能的异常迹象,也是相当重要的措施,这也与当今端点防御措施里,透过大量事件记录找出攻击事件征兆,再进一步因应的概念,算是不谋而合。

无论是工程师有心窃取机密,还是骇客操控研发用的电脑,都可能利用图中所列的方式外泄,规避企业各式机制,并且在完成之后,清除相关事件记录。若是没有对应的监控机制,便难以发现或是追查这种异常事件。