假使企業發現遭受APT攻擊,如何因應?最常見處理方式不外下面三種,第一種是「強化傳統資安解決方案」,就現有防護工具進行全面補強;其次是將受害電腦予以Format,也就是「毀屍滅跡」;甚至有人索性「放任不管」,因缺乏專業知識,不知如何下手,只好置之不理。
假使企業發現遭受APT攻擊,如何因應?不久前恰好有一份相關的統計報告出爐,歸納最常見處理方式不外下面三種,第一種是「強化傳統資安解決方案」,就現有防護工具進行全面補強;其次是將受害電腦予以Format,也就是「毀屍滅跡」;甚至有人索性「放任不管」,因缺乏專業知識,不知如何下手,只好置之不理。
綜觀上述三種方式,除了「放任不管」明顯不值得鼓勵外,另兩種做法亦存在盲點。首先,APT與一般威脅的最大不同之處,在於它是針對特定目標量身訂做的攻擊,傳統方案無法偵測其蹤影,所以「強化傳統資安解決方案」效用不大。其次,APT通常依循著攻擊、控制、擴散等步驟,企業必須瞭解其發展至哪一個階段,方知已造成或潛在的傷害有多大,才有助於對症下藥,如今好不容易有線索可還原事件原貌,卻急於「毀屍滅跡」,殊為可惜,因為那些被Format的標的,可能只是冰山一角,恐存在更多漏網之魚。
持平而論,APT是持續性的滲透攻擊,完整的防禦機制理應包含工具、流程,以及APT專家介入協助,三者缺一不可。也就是說,企業在部署偵測、分析、欄截、鑑識等APT專用解決方案之餘,另須搭配事件反應處理流程IR Process(Incident Response Process),輔以APT專家針對攻擊型態深入剖析,才足以洞察事件全貌。一方面將分析結果回饋到防禦機制,持續發揮偵查之效,遏止新的攻擊入侵,另一方面產製真正有效的解藥,針對潛伏在企業的APT暗樁,進行大規模清除。
事實上,製作APT解藥的程序不難,難是難在樣本來源的取得,以及解藥提出的時效。要想化解這些難題,企業別無捷徑,需要紮實地建立一套事件處理流程,其中包含了對內部員工實施教育訓練,以及需循序落實的應變步驟。但不可諱言,APT畢竟迥異於傳統的病毒或惡意程式,明顯超越了企業資安管理者的經驗值,所以在IR流程運行的過程中,少不得需要引進外部專家提供奧援,以利從蛛絲馬跡中追本溯源、取得樣本,接著爭取時效,趕在災情擴散前進行有效的防堵與清除。
足堪重任的專家,除須瞭解惡意程式、駭客行為,以及惡意網路的特徵外,更重要的,必須擁有第一手處理APT事件的經驗,也要能掌握組織型駭客的情資,唯有如此,才能參透攻擊事件的箇中玄機,破解駭客手法進而見招拆招。
某種程度上,APT專家彷彿犯罪偵查高手,腦海中存在諸多駭客慣用招數,因此不僅可快速察覺哪些電腦成為駭客禁臠,還能針對大量的日誌或資料,一步步抽絲剝繭,從些微異常中找到「出乎意外的巧合」,識破迂迴曲折的駭客行徑,進而將解藥投放到關鍵點,讓攻擊劇本就此失效;這段攻防過程極其細膩,唯有借助富含經驗的專家,才可能扳倒頑強對手。