新型態的資安威脅採以進階持續性滲透攻擊(Advanced Persistent Threat,APT),大多可成功地繞過傳統的防禦體系,進而竊取資料。
Blue Coat亞太日本地區行銷副總裁Darryl Dickens觀察國際知名資料外洩事件,指出滲入管道較大宗者是採以釣魚式攻擊(Phishing),即在網頁中植入惡意程式誘騙使用者點選後入侵。
|
▲Blue Coat亞太日本地區行銷副總裁Darryl Dickens提醒,APT攻擊已不僅發生在銀行、電信等,握有大量客戶資料的產業,台灣眾多高科技製造業,擁有製程等相關的智慧財產,具有高經濟價值,同樣可能為APT鎖定對象,仍必須留意。 |
其次是鎖定攻擊目標,發動客製化的攻擊,其背後的目的在於龐大利益驅動,不外乎是竊取公司智慧財產、客戶資料等,藉此變現獲利。近期最大宗事件即是美國第二大連鎖賣場Target爆發的客戶資料外洩,超過一億筆個資落入駭客之手,包含高敏感性的信用卡、簽帳卡等資料。Darryl Dickens認為,歸咎造成此起事件的因素,並非缺乏最先進的防禦技術,而是管控工具平日監控偵測所發出的告警通報相當多,不僅使IT人員無法辨別告警的重要程度,更導致被忽視的狀況出現,此時的防禦機制形同虛設,根本無法發揮效益。
為了免於遭受APT攻擊而不自知,資安市場盛行採以沙箱(Sandbox)技術輔助,模擬終端環境預先執行可疑、未知的檔案,來發現是否暗藏滲透行為。「但僅仰賴沙箱技術並不足夠,而是需要建構進階安全防護策略。」Darryl Dickens強調。
Blue Coat提出的進階安全防護架構,是以WebPulse雲端服務為核心,蒐集、整理、分類來自全球用戶發現的事件,以支援日常營運(Ongoing Operation);其次是事件控制(Incident Containment)機制,運用沙箱技術實作,經分析發現具攻擊行為,立即阻斷、發出告警、回報WebPulse雲端資料庫。且沙箱分析後可區分行為威脅等級,以指出事件的嚴重性,例如修改系統的Registry、呼叫核心DLL檔等會被列為最高威脅等級,讓IT人員得知事態嚴重性。
最後是要有事件判定(Incident Resolution)能力,Blue Coat提供Solera資安分析鑑識平台協助,該平台具有WebThreat、MailThreat、FileThreat三種不同分析技術,網路封包只需經過一次性拆解,即可進行比對與辨識三種不同通訊協定的相關資訊。
該分析流程,會先行取出Metadata,例如來源的IP、通訊協定、連線位置等基本資訊,發現可疑時才深入到內容中查看,從龐大資料中初步篩選值得分析的資訊,藉此掌握整起事件的前因與後果,才有能力追溯攻擊源頭,進而改善防護機制,避免類似的事件再次發生。
至於事件發生後續的處理,Darryl Dickens說明,由於Blue Coat專注在事前的預防、控制、辨識,事後的調查與修復方面目前是透過合作夥伴,結合國際間知名的Guidance Software數位鑑識能力,協助企業合法蒐證,以備訴訟之用。