Post on 09-Aug-2020
transcript
人工智慧、機器學習的資安應用面面觀
Kenneth Lo 盧惠光 Senior Manager Products & Services
2017 資安事件回顧
Petya幕後黑手:TeleBots重返,烏克蘭供應鏈遭受攻擊
Source: https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/
Source: https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/
TeleBots組織攻擊之演進時程
Supply Chain Attack
供應鏈攻擊之後續事件
航運巨頭 Maersk 因 Petya 造成超過2億美元損失
Image: Moller-Maersk Group
NotPetya攻擊讓FedEx損失3億美元
Source: https://www.theregister.co.uk/2017/09/20/fedex_notpetya_damages/
CCleaner遭植入後門 美日英德台之電信/科技公司
全球超過230萬用戶受到感染
Source: https://thehackernews.com/2017/09/ccleaner-hacked-malware.html
Image: https://themerkle.com/decoding-crypto-birth-of-a-phenomenon/
關於加密貨幣挖礦軟體
• 本身可說是正常軟體
• 一般是 Windows, Linux, macOS 軟體
• 也可以存在於 Android , IoT 冰箱等
瀏覽器上的加密貨幣挖礦腳本
瀏覽器上的加密貨幣挖礦腳本 – 例子
Source: https://motherboard.vice.com/en_us/article/ne7nvm/is-the-pirate-bays-in-browser-cryptocurrency-mining-better-than-its-crappy-ads
https://www.pcmag.com/news/356447/showtime-websites-rigged-to-mine-cryptocurrency
加密貨幣挖礦統計
Source: ESET Internal Statics
2018 資安預測
更多供應鏈攻擊
更多加密貨幣攻擊
更多加密貨幣交易所入侵
工業控制系統入侵
IoT 或 UEFI 攻擊
A.I. / Machine Learning (攻擊者也會用 A. I. ! )
更多更多更多
進階持續性滲透攻擊(APT)
!!!
進階持續性滲透攻擊(APT)
傳統的安全工具只有60%的時間進行有效防護
未知惡意程式搜尋區網內易受攻擊的設備 – IoT
/ BYOD
未知惡意程式企圖闖入
企業內部網路
未知惡意程式隱蔽在公司區網中
隱藏攻擊行為讓你無法察覺到,
直到...
使用CIA / NSA / FSB級技術
您的網路正受到
威脅影響
薄弱的網路流量可視性監控
利用現有的應用層防護
工具,對整個公司區網
內網路流量進行掃描有
一定難度
不正確的網路架構/伺服器間信賴關係
隧道傳輸
網路和應用程式回應速
度很慢
風險/壓力/加班
17%
公司聲譽損失
*Ponemon Institute Studies: 2011 - 2017
5%
攻擊造成的損失遠比您想像還要嚴重,並且不侷限於資料洩露本身的成本。
在某些情況下,它可能需要一家公司花費近12個月的時間,從遺失資料中去恢復。
公司股價下跌
65% 27%
失去客戶信任 客戶流失
不可輕忽的傷害
復原期間內會發生的狀況
發現入侵平均時間為49天
*2* 2017 Trustwave全球安全報告 - 不包括補救時間
49
零售業是最大受害者
Retail
22%
接近五成企業渾然不知已遭入侵
49%
GreyCortex Mendel
【智能網路流量監控分析】
GreyCortex Mendel
【智能網路流量監控分析】 為高端智慧化網路封包監測解決方案,只需幾分鐘便可部署完畢,其運用
目前最熱門之人工智慧、機器學習技術,再據此判斷哪些是異常網路行為
,並檢測到來自機構內外部的新型未知攻擊及提出預警。
輕鬆部署 強大效能 節省成本
快速檢測
高效能&網路透明化
輕鬆部署
直覺式操作界面
四大特色
網路傳輸
流量掌控
加入的新裝置
易受攻擊的應用程式
篩選事件
自訂化面板
更容易檢測
1 Min - 6 Hours 平均檢測的時間
30 - 60 Minutes 平均部署的時間
部署示意 Sensors
– ASNM output (= 0,5% - 1,5% of traffic)
– 200Mbps – 10Gbps
Collectors
– 1 collector = 10+ sensors
– ASNM as input
– Aggregated input 20Gbps+
Appliances
– Passive
– On premise
– HW or virtual deployment
受影響的設備或用戶
在網路攻擊的各個階段及時檢測到未知威脅,如果不及時發現,將導致:
敏感資料洩漏(客戶資料,技術文件)
攻擊公司伺服器
檢測範例
• 網路來源偵測
• 殭屍網路偵測
• 資料洩露
• 連線異常
• 防火牆,IPS,端點保護等遺漏掉的威脅
……以及長期潛藏和針對性威脅攻擊,遠端呼叫木馬程式,活動中殭屍網路,針對BYOD或IoT設備進行攻擊
受影響的設備或用戶
跟看起來是合法的IP來源進行多次連線,該網路Metadata被分類到異常,因為用戶端安裝了含有未知惡意程式的軟體。
案例分享_1
受影響的設備或用戶
行動裝置上的惡意程式包含木馬和後門程式。
案例分享_2
員工疏忽 檢測範例
• 使用純文字密碼
• 設定問題造成設備和服務的問題
• 危及到BYOD裝置
• Tor,P2P及其他服務連線
• 攻擊沒更新過的軟體程式
• 使用雲端儲存
• 違反公司政策
• 未經資訊人員授權的連線
…以及其他一些常見網路配置上的錯誤和違反公司規定
員工的疏忽和外包商錯誤,有時會造成違反公司管理原則的漏洞, 進而造成了風險並且開啟了駭客攻擊的機會,進而導致:
敏感資料洩漏(客戶資料,技術文件)
攻擊其他公司
法規相關問題
員工疏忽
一個提供非加密的HTTP服務的設備,被來自中國地區IP嘗試使用Administrator登入。
案例分享
保護重要資產
32
檢測範例
• 違反管理原則
• 連線紀錄
• 資料洩露
• 異常連線
GREYCORTEX MENDEL讓使用者能夠優先保護關鍵與高度敏感的資產並為此重要性高的資產,制定專門防護的政策。
保護重要資產
一個來自俄羅斯IP使用 DNS通道穿越攻擊, 而目標設備的問題在,被傳遞不正確DNS封包並嘗試癱瘓整個DNS伺服器。
案例分享_1
保護重要資產
該設備對網際網路提供39個服務,並試圖與世界各地的120個設備進行連線,包括巴西、塞爾維亞、波斯尼亞、黑塞哥維那、美國,新加坡和日本等國家。 一般來說設備通常只會1到8個網路服務提供給外部進行連線。
案例分享_2
取證和根本原因分析
GREYCORTEX MENDEL記錄和儲存數月的網路流量資訊,為各種問題的根本原因進行分析,提供即時詳細的資訊。
這使得公司資訊人員能夠主動採取行動,防止在網路和其他關鍵服務中出現問題和中斷,最大限度也能縮短停機時間。
35
可視性範例
• 設備間的連線
• 合作夥伴連線往來
• 無法連線的設備或服務
• 效能異常
• Communication metadata
… 透過操作介面輕鬆管理
Q & A
歡迎參觀【ESET攤位 編號:60】@2樓
填寫問卷送90天ESET網路安全套裝
感謝聆聽~