當企業逐漸具備基本的資安防禦與觀念,來因應惡意攻擊與資安威脅時,駭客攻擊手法卻也隨之越發快速發展,可說是日新月異,讓企業防不勝防。近期以來最受企業與資安領域關注的議題,莫過於APT(Advanced Persistent Threat,先進持續威脅)攻擊。如Google、Sony甚至是RSA等公司都曾遭受過APT攻擊,顯見APT已成為不得不面對的資安威脅。
什麼是APT攻擊?趨勢科技技術總監戴燊表示,APT指的是一種具針對性目標攻擊模式的總稱,其使用進階攻擊手法,以長時間、低頻率且極為低調不易察覺的方式進行。換句話說,APT並不是一種新的病毒或攻擊種類,而是一種攻擊「方式」,這種低調潛伏的攻擊方式,讓企業防不勝防。
防禦APT的方法
|
▲McAfee技術經理沈志明 |
若將APT比喻為軍事滲透行為,殭屍網路(Botnet)便是涵管下水道,Check Point台灣技術顧問陳建宏表示:「APT攻擊往往透過Botnet進行滲透或傳遞惡意程式,因此對企業而言,如果要防禦APT攻擊,可先從Botnet開始著手。」陳建宏表示,現有的資安防禦方式大多針對已知攻擊或惡意網站以設立黑名單、阻斷連線的方式來防止殭屍網路,然而有越來越多未知的殭屍網路及持續變形的未知攻擊型態,因此,光是採以特徵碼的方式來防堵難以有效預防,行為分析也成為防止新型態攻擊的一大關鍵。
趨勢科技台灣暨香港區總經理洪偉淦認為,防禦的重點在於提高「能見度」,他解釋:「APT是一種表面上看不見的攻擊,而既有的資安解決方案大多針對看得見、已知的攻擊進行防禦,因此要想防堵APT攻擊,最主要的工作是將看不見的、未知的攻擊資訊轉化為可視的內容,再依照其攻擊威脅手法以相對應的資安防禦機制進行阻絕。」另外,由於APT是針對性攻擊,因此建議企業依照組織環境的資安弱點,進行客製化加強佈署防禦措施。
|
▲台灣賽門鐵克資深技術顧問
張士龍 |
身為APT受「駭」者的RSA,對於APT則有更深刻的瞭解與建議。RSA台灣區資深技術顧問莊添發表示,大多數企業雖然已佈署資安防禦機制,然而往往仍缺乏資安管理與資安鑑識分析來強化交叉比對分析能力,他解釋:「資安管理與資安鑑識分析,指的是針對組織各環節端點所遭遇到的資安事件以及相關資訊,進行綜合管理與比對分析,透過這些管理與分析,才能及早發現資安威脅進而防禦。」
莊添發表示,傳統防火牆、IPS等設備都是針對已知攻擊行為進行比對與防堵過濾,而APT往往都是採以未知攻擊手法潛伏進行,既有設備難以預防,因此,「強化可視度」是企業資安機制接下來的發展重點,「包括對於資安策略是否正確執行、資安管理成效如何的可視度;防護與分析層面的資料可視度;以及網路行為的可視度等,都是因應新型態資安威脅與攻擊的關鍵。」
著重資安政策管理的主要目的在於確保企業內部資安政策確實執行,並且發揮應有的效果,尤其許多APT攻擊以企業內部員工為目標,例如發送針對特定員工的釣魚郵件,取得員工資料之後,再滲透到企業內部竊取更多資料,因此確認資安政策被確實遵循與執行,較能減少一定程度的人為因素所造成的資安漏洞。至於資料可視度以及網路行為可視度,目的便在於能夠控管從企業內傳送出去的資料有哪些、網路上所有對外以及對內的活動,以確認是否正遭受APT攻擊。
|
▲Websense台灣區技術經理
林秉忠 |
APT攻擊的複雜性以及難以預測的特性,讓資安防禦機制走向更嚴密控管的方向發展。McAfee技術經理沈志明表示,因應APT攻擊,除了基本必備的端點安全解決方案之外,閘道端的網路安全機制將更顯重要,「例如建立網路流量分析、行為異常分析能力、可判斷檔案類型真偽等等,藉以找出可疑行為。」
Websense台灣區技術經理林秉忠也表示,一直以來安全防護以攔阻網路犯罪與惡意程式為主要重點,隨著APT或其他新型態攻擊以竊取資料為目的的攻擊方式日益增加,閘道端佈署網路安全機制將能夠較有效防範重要資料遭竊風險。
為了能夠確實分析資安事件與行為,側錄網路封包與網路行為並且完整還原的機制也會成為企業未來的重要需求,也因此,McAfee、RSA、趨勢科技等各家資安廠商,不約而同提出可完整紀錄、還原資安事件,並且具備交叉分析能力的解決方案,除了協助企業防禦隱藏式攻擊,也能作為稽核與追蹤,以符合法令規範需求。
台灣賽門鐵克資深技術顧問張士龍表示,對於賽門鐵克而言,未來的資安產品將更強調產品之間的整合能力、事件分析能力以及早期預警能力,必須協助企業從過去以「點」的方式佈署管理資安機制,提升到以「面」整合的方式強化資安防禦能力,才能避免單一環節出現安全問題。
|
▲趨勢科技技術總監戴燊 |
雖然各家資安廠商已觀察到APT等新型態攻擊將對企業造成衝擊與損失,開始積極推出相對應解決方案與市場佈局,然而不可諱言地,多數企業對APT威脅的認知與危機意識仍有待教育。RSA台灣區資深技術顧問莊添發表示,不少企業客戶目前仍較重視資料保護,先行佈署如日誌保存、證據保留等基本措施,作為第一階段的防護以及因應法規需求,至於對於APT的認知以及應該如何防禦,企業則較為陌生,也還在觀望階段。McAfee技術經理沈志明表示,企業往往認為自己不會成為被攻擊目標,而對於新型態資安威脅抱持觀望態度,「其實企業擁有非常多重要資料,如生產資料、智慧財產權、合約、開發程式碼等等,這些都可能成為駭客覬覦的目標。」
趨勢科技台灣暨香港區總經理洪偉淦表示,由於之前遭受APT攻擊的對象如Google、RSA等公司較具規模,資安防禦機制也比一般企業來得更為嚴謹,因此多數企業認定自己不會被駭客盯上,或以消極心態設想,就算佈署資安解決方案,也不可能比這些大公司更嚴謹周密,更防堵不了新型態攻擊,「企業必須建立的觀念是,資料值錢與否、是否可能成為值得攻擊的目標,這些價值上的認定是由駭客來決定,畢竟敵暗我明,企業仍須評估與考量相對應的措施。」