如同我們一直在推廣的觀念,想提高防禦APT的效果,必須持續員工教育訓練、依感染流程部署防禦,以及兼顧防禦的廣度與深度。我認為在談論APT的防禦之前,最重要的是必須得到C-level高階主管的支持,尤其是有遠見的CEO。企業不能只做現階段的IT規劃,而必須考慮到未來在高度競爭的商業環境下,如何保護重要的智慧財產。
許多企業以為APT防禦設備只是Nice to have,但事實上很可能他們已經遭受攻擊卻毫無所覺。去年第四季FireEye統計全球進行POC專案的客戶當中,98%的企業系統已遭滲透,且22%確定是遭APT攻擊,進一步看亞太地區被APT攻擊的更高達40%。因此APT事件不是沒發生,而是企業未曾發現。從過去許多的例子都顯示,一旦遭受過APT攻擊並被商業間諜竊取機密後,才開始重視此一問題已經太遲,往往被對手仿造得維妙維肖的產品已經上市。
美國國土安全部(The U.S. Department of Homeland Security)曾呼籲企業組織的CEO們,應該問一問IT部門以下問題。我想即使不是資訊長,身為IT人員的讀者在被問之前也不妨預先準備,或者可以主動提報:
1.對本公司現今的資安水平及網際風險造成的業務衝擊,我們的高階領導是如何了解的?
2.我們對應這些風險的計劃是甚麼?
3.我們的計畫如何符合業界標準和最佳範例?
4.平常一週內我們偵測到多少件以及哪些種類的網際威脅事件?
5.需要通知高階領導的資安事件最低門檻是甚麼?
6.我們的網際威脅反應計畫有多麼縝密?測試演練的頻率如何?
上面這六個都是相當務實的提問,不只是對APT,而是對整體資安防護系統的建置。例如第五點是有關資安事件的通報應變,什麼樣的事件或規模需要通報到高階主管?中了病毒需不需要通報?而第三點則談到企業制定的資安計畫應符合產業標準(例如資安管理系統ISMS)或業界最佳範例(Best Practice)的作法。說到最佳範例,以APT而言,研究調查機構Gartner對於如何減緩APT攻擊,也提出最佳範例的作法--就是企業必須同時採用既有的以及新興的防禦技術。
在其研究報告中提到,企業必須將現有的邊界與網路型資安設備升級,包括VPN遠端存取連線系統(包含IPSec與SSL VPN)、次世代防火牆、入侵防禦系統、網頁應用安全系統等,同時要部署進階威脅防禦設備。而關於進階威脅防禦設備方面,最佳範例的作法則是去評估與部署網路型的進階威脅偵測/?防禦技術,以便能降低零時差惡意程式及目標式攻擊的潛在衝擊。
(本文作者現任FireEye台灣區總經理)