根據調查報告顯示,2013年有高達80%的台灣企業並不知曉已遭受APT攻擊,這當中,有77%的組織在發現受到攻擊時,已經被駭客取得完全的掌控,卻只有50%的受害電腦內會被找出惡意程式。;台灣科摩多建議企業最好與專業資安夥伴合作,定期檢視安全死角並落實企業資訊安全管理,才能有效防禦新型態的APT攻擊。
由於APT針對特定目標進行客製化,因此APT惡意程式占全體惡意程式數量相當小,但就是因為數量小,難發覺,所以更危險。傳統資安系統的運作原理在於不斷發掘新攻擊,分析特徵後進行防禦;由於APT攻擊不斷變動、量身訂製攻擊等特性,其特徵不斷在變動,由於無法鎖定其特徵,便非常難透過現有的資安系統(大部分基於特徵碼)進行偵測防禦。
COMODO ESM新世代企業安全管理系統是一套?大的電腦安全系?,針對APT攻擊的因應,如篡改系統機碼、安裝後門軟體、回呼控管中心(C&C Channel)以及資料竊取等行為,採取「主動隔離與沙箱運作」的解決方案,有效防範未知程式被使用者開?執行造成企業內部系統遭受攻擊的連鎖效應。
COMODO正式推出中文版ESM新世代企業安全管理系統,整合端點防火牆、惡意程式防護、入侵防禦、防毒、自動沙箱過濾、效能監控、電腦資產盤查等功能,提供企業完整的系統安全管理。
針對APT的攻擊,在不增加資安預算的的狀況下COMODO建議企業應:
1.建立基本的資安政策–例如限制執行檔案的執行。根據統計調查分析,坊間惡意程式透過執行檔誘使使用者的點擊這種攻擊方式占了APT攻擊行為的80%以上;這項設定只需要利用COMODO ESM進行基本設定即可滿足需求。
2.限制程式的執行環境–避免員工不當安裝或點擊執行惡意程式,可大幅降低企業用戶端系統的安全,管理這應定期盤查用戶端是否安裝與公務無關的應用程式,並利用沙箱執行技術限制安裝程式在虛擬系統中執行,避免用戶端系統遭攻擊或植入木馬程式。
3.過濾傳送附件檔的郵件–部署企業郵件安全過濾系統Comodo Anti-Spam Gateway,除過濾垃圾郵件外,更需針對所有郵件附檔或連結URL進行過濾,確保安全郵件才放行;例如傳送到Sales/Service信箱的郵件往往夾帶有許多攻擊內容,在開啟檔案之前建議先與送件方確認無誤後再行開啟。
零時差攻擊偵測是防禦APT的關鍵第一步,但調查發現,只有三分之一的企業,有能力自行發現資料是否被竊取,而且利用受信任的網站進行的「水坑式攻擊」愈來愈多,讓許多受信任的網站,反而容易成為感染的來源,也顯示各行各業必須對於未來可能面臨的資安威脅,要有更多的準備。
傳統的防護方式已無法有效偵測或反應現今APT攻擊。要防禦未知惡意程式攻擊,要選擇不需特徵碼即可偵測並阻擋零時差攻擊及針對性攻擊的動態分析技術,唯有如此,才能做到即時防護,阻擋資料外洩。台灣科摩多建議企業要有升級企業安全防護能力,並落實資訊安全管理,透由專業的資安廠商協助定期檢視企業或機關中的安全死角,找出保護網路,才是解決之道。