Fortinet DDoS 惡意程式 APT 資安 安全 威脅 防禦 攻擊 外洩 個資 郵件

Blastware等攻擊興起 聯合防禦兵來將擋

2015-04-01
在UTM(Unified Threat Management,整合型威脅管理)領域耕耘多年,能以單一設備提供防火牆、入侵偵測防禦、防惡意軟體、網頁過濾等功能而獲得不少企業青睞的Fortinet,隨著全球資安威脅快速轉變,除將自家產品升級為可以阻擋未知型態攻擊的次世代UTM之外,亦藉由FortiGuard安全防護中心持續收集與分析全球各地威脅訊息,並且每天發佈建議預防措施給全球客戶,協助資訊人員抵禦新型態的網路威脅。
在該公司公布2015年網路安全威脅和趨勢報告中,第一項便明白指出能摧毀系統、刪除資料、掩護駭客足跡的Blastware(自爆軟體),將會緊隨著偽防毒和勒索軟體腳步,成為企業最頭痛的新攻擊手法。此類軟體能在駭客滲透進入企業內部系統、蒐集資料,接著抹除系統和硬碟上資料後,進一步覆蓋資料軌阻礙數位採證,為日後再次攻擊預作準備。

▲美商Fortinet台灣區技術總監劉乙指出,Blastware因具備可覆蓋資料軌阻礙數位採證的能力,將會緊隨著偽防毒和勒索軟體腳步,成為企業最頭痛的新攻擊手法。
FortiGuard安全防護中心在2014年於名為Dorkbot/NGRbot的惡意程式中,首次觀察到Blastware型態現身。該軟體預先搭載駭客內建的應用程式,一旦發現程式碼被更改,即會進行自我摧毀,然後抹除所有硬碟上的資料,以便阻撓資安專家後續的追蹤和採證工作。不僅如此,駭客也開始在勒索軟體中加入此手法,例如受害企業若不在特定時間內交付贖金,就將著手資料摧毀,並且尋找下一個工作目標。

Fortinet台灣區技術總監劉乙指出:「該手法已在2014年的網路勒索事件中出現,如之前轟動全球的好萊塢女星照片外洩、2014年底Sony網站被駭等事件,均是屬此種類型。我們預期此手法會被廣泛應用對企業的攻擊之中,畢竟商業環境內部中,勢必擁有許多高利益價值的資料,資安人員應該要正視這個問題的嚴重性。」

DDoS偽裝攻擊 混淆企業防護重心

他表示,現今許多新型態的資安威脅,都是利用軟體、資安防護設備漏洞進入企業內部之中,以達成竊取機密資料或發動攻擊的目標,此種模式即是大家耳熟能詳的APT攻擊。如過去轟動一時的RSA被駭事件,即是利用持續2天發送2封標題為2011 Recruitment Plan的釣魚電子郵件,吸引RSA員工點選附件為2011 Recruitment Plan.xls的檔案,由於該附件早被植入SWF(CVE-2011-0609),所以當RSA職員打開此xls檔後,駭客即可利用SWF產生的漏洞,順利在用戶端植入木馬程式Poison Ivy RAT。

劉乙說:「RSA被駭事件,是由不同惡意軟體交互掩護而成,堪稱是詮釋APT攻擊的最佳案例。我們認為,企業要阻擋新型態攻擊,還是得要從強化網路閘道防禦著手,而沙箱技術則是偵測APT攻擊的最佳方式,但應該要進一步把郵件防禦、用戶端設備,納入APT防禦的一環,才能有效阻擋新型態攻擊對企業帶來的威脅。」

現今駭客發動APT攻擊的流程,大致上可以分成4個階段,首先是用DDoS測試企業防禦能力,以及轉移資安人員對資安威脅的注意力。其次,則是利用社交網路、釣魚郵件躲過資安設備防護網,在用戶端電腦中植入惡意或木馬程式。接著第三步驟則是在掌握企業資安防護網的弱點後,發動零時攻擊、利用漏洞滲透。最後,再利用木馬/?後門程式蒐集應用伺服器服務器密碼、機密資訊等,以達成獲取金錢利益的目的。


▲駭客會先用DDoS測試企業防禦能力,再用社交網路、釣魚郵件躲過資安設備防護網,接著第三步驟則是發動零時攻擊、利用漏洞滲透,最後則利用木馬/後門程式蒐集密碼、機密資訊。

劉乙指出,要對抗日益複雜的資安威脅,企業必須正視每個資安威脅背後隱藏的含意,如DDoS攻擊本身雖然並不會直接造成企業內部的機密資料外洩,但資安人員應該要注意在發生DDoS攻擊時,垃圾郵件防護設備是否亦有偵測到小規模釣魚郵件,才避免陷入駭客聲東擊西的陷阱之中。

搭配FortiSandBox 用FortiGate阻擋APT

要阻擋新型態的資安威脅,Fortinet認為根本上還是要從網路閘道防護做起,所以在集眾多功能於一身的FortiGate設備之外,又陸續推出FortiDDOS、FortiMail、FortiSandBox、FortiWeb、FortiAuthenicator、FortiToken等設備,是少數能夠提供完整網路閘道防護方案的公司之一。

其中FortiGate則是多款資安防護系列中,最廣受資安人員熟知的UTM產品,功能涵蓋防火牆、VPN和流量控制、入侵防禦系統(IPS)、反病毒/?間諜軟體/?惡意軟體、漏洞管理、Web過濾、反垃圾郵件等,都是企業面臨現今複雜資安威脅所需的防護功能。而且Fortinet也依照企業規模不同,提供從為小型辦公室設計的FortiGate-20系列,到為大型企業、服務供應商和營運商設計的FortiGate-5000系列等,資安人員可以依照本身的營運規模,選擇所需的產品規格。

「為了能在單一設備上執行多項防護工作,我們在FortiOS作業系統與FortiASIC處理器的搭配上投入許多研發,以確保應用服務的效能。」劉乙說,「而為了協助企業對抗新型態的攻擊,FortiGate也會接收來自FortiGuard安全防護中心提供的全球威脅動態更新,搭配FortiSandBox之後,即可在第一時間阻擋最新出現的零時差或漏洞攻擊。」

跨平台FortiClient 保護用戶端設備

鑑於各式各樣的用戶端因防護力不足,幾乎無法阻擋新型態的攻擊行為,所以Fortine推出可以安裝在個人電腦、平板電腦和行動設備上的FortiClient,支援Windows、iOS、Android等平台,能夠主動接受來自FortiGate發送的訊息,提升企業整體資安防護能力。

劉乙解釋:「傳統用戶端設備都是採取特徵碼比對的機制,所以防護能力非常有限,但當企業用戶加購FortiClient的授權之後,即可與FortiGate保持雙向連動,只要察覺到有惡意程式入侵,FortiGate便會立即發出阻斷通知,阻斷該應用服務的連線,將惡意程式的傷害降到最低。」

在FortiGate之外,Fortinet也建議企業在合理的資安預算之內,依照營運特性添購FortiDDOS、FortiMail、FortiSandBox等設備,藉由不同機制之間的相互搭配,達到保護企業內部網路安全的目的。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!