相較於近來四處橫行的加密勒索軟體,另一種足以影響營運的攻擊手法,則是以低調隱匿迴避偵測為核心設計的APT攻擊,駭客在企業或組織毫無感受之下盜取機敏資料。Fortinet台灣區技術顧問劉乙觀察,多數企業確實會擔心被APT攻擊而不自知,但卻少有實際作為。對此,Fortinet今年開始在台灣提供資安健檢服務,透過網路封包的解析,察覺異常連線行為。
以往解析網路流量的部署,大多是著重於閘道端,藉此查看由內而外的連線是否存在中繼站等惡意行為,但是惡意程式尚未執行中繼站連線的溝通程序前,也應該要能被偵測發現。因此Fortinet依據ATP(Advanced Threat Protection)發展框架,除了協助企業建立內網隔離(ISFW)環境,今年開始也力推「安全織網(Security Fabric)」架構,經由多項產品線的整合,搭配併購AccelOps後整合推出的FortiSIEM,把原本僅屬於閘道端的資安防禦措施,擴展到內部網路。
 |
| ▲Fortinet台灣區技術顧問劉乙指出,欲降低數位資產被竊取的風險,首先是部署ISFW架構,直接阻斷非必要的存取流量;其次蒐集IT環境中所有的Log檔案,進而關連與分析以突顯異常行為。 |
劉乙指出,「其實惡意程式在尚未出現中繼站連線行為之前,可能會先於內網擴大滲透,從流量資訊查看即可發現有問題的電腦。因此Fortinet相當強調內網的資安措施,遠比建置於閘道端、或外部資安服務來得重要。」
之所以必須擴展到內網,劉乙認為,若APT攻擊有強烈的針對性,中繼站勢必會運用動態變更位址機制來迴避偵察,僅從流量中檢查惡意網站的連線還不夠,因此才會推出安全織網的架構,把原本建置閘道端防堵由外而內的防禦措施,直接建立在內網。如此一來,也才能發現惡意程式橫向移動的行為。
「我們在歐美國家客戶端發現另外一個趨勢,橫向移動不再是背景刺探其他電腦是否存在漏洞,再執行滲透。最新的變化手法,是直接在內部員工資訊系統的網頁上掛碼,加快擴散速度。但台灣的客戶尚未意識到此問題。」劉乙說。
APT具備長期潛伏的特性,除了沙箱技術模擬執行未知型檔案,亦須搭配大數據平台的運算分析,經過統整收斂後,突顯潛在威脅。Fortinet即是基於FortiSIEM平台,整合安全織網中的所有資訊,關聯與分析行為模式,從中發現異於常態、或惡意程式行為指標,藉此找到出現問題的電腦。
欲降低資安風險,勢必得投入資源,但是預算畢竟有限,因此劉乙認為,先行檢視現有的防護工具,再依照產業特性與須保護的資產標的,綜合分析後才決定安全織網的建構模式,如此一來,更能貼近企業IT環境所需。