別以為「無事家中坐,禍從天上來」這種事不會發生在你的企業或組織上頭,早在2011年的統計資料就顯示95%的企業已遭到APT攻擊,而且有高達59%資料外洩的公司是由主管機關告知才曉得資料已經外洩;到了2012上半年,每家企業…組織受到感染的次數,又比去年同期增加了2.25倍!諷刺的是,全球每年花費超過280億美金在資訊安全上,卻仍然不能有效遏止APT攻擊的增長。
因此,對於這種新型態緩慢而低調(Slow & Low)的惡意威脅,我們需要全新的思維與創新的技術來補強現有資安防護的不足,在此提供三點重要的認知。
首先,天下沒有萬靈的解藥。防禦APT是現在進行式,不是完成式;企業組織的資安主管應持續了解APT攻擊手法與技術,並交叉檢視現有資訊安全設備是否不足。
其次,絕對無法只以單一產品做到有效防範APT。雖說「聞道有先後,術業有專攻」,但整合不同資訊安全防禦設備才能有效提高防禦率。
最後,今日的未知手法將成為明日的已知攻擊。唯有動態且即時的全球威脅情報更新,才能把最新的攻擊手法納入防禦範圍,避免「孤軍奮戰」最後「壯烈犧牲」。
所謂新一代威脅防禦系統(Next Generation Threat Prevention,簡稱NGTP)必須包含以下特性:
- 1. 完整的惡意程式防禦系統(Malware Protection
System,簡稱MPS):可分別針對網頁流量、電子郵件及靜態檔案中可疑的惡意程式同時進行動態且即時的偵測與分析,一旦確認惡意即進行阻擋。
- 2. 強大的虛擬執行引擎:必須具備專屬作業系統以
避免惡意程式的「反偵測」、能支援多種商用作業統環境(Windows 2000/XP/7)與檔案類型和版本(Office 2007/2010、TIF、JPG、MP3、MP4、ZIP等)。
- 3. 全球威脅情報分享(Dynamic Treat Intelligence,簡
稱DTI):透過MPS即時接收不具名分享感染物件的資料元(metadata),將本地端未知的惡意程式列為已知惡意程式,提高防禦效率。
- 4. 能與其他資安設備整合以提高整體防禦效能與ROI:包括防毒、網頁過濾、SIEM、網路鑑識(SIA)等等。
雖然現今的APT威脅已到了無孔不入的地步,我們身處的網路環境也不甚完美,但若能從認識APT攻擊的特性與流程著手,了解所有APT防禦技術的優點與不足,先採取「出口阻斷避免資料遭外洩,再採取入口攔截降低感染」的部署方式,並整合其他相關資安設備與全球威脅情資網,打擊APT的戰爭就能化被動為主動,避免成為下一個資料遭到外洩的公司。
(本文作者現任FireEye台灣區總經理)