Incident Response FireEye 事件處理 APT 安全 攻擊 IR 資安

將229天縮短至數分鐘

2014-10-23
前幾個月FireEye發布了Mandiant M-Trends 2014報告,其中發現的統計數據相當耐人尋味。報告中指出,2013年受駭企業平均要花上229天,才會發現潛伏在企業內的攻擊事件,其中67%是由外部單位告知,例如我們幫客戶做POC專案時。且遭滲透的系統中,46%並沒有發現存在任何惡意軟體。令人遺憾的是,這些受害企業100%都已安裝了防毒軟體且病毒特徵碼都有持續更新到最新。
值得注意的是,67%的入侵事實是由外部單位告知,換言之,只有約三分之一(33%)的企業,擁有自行偵測、發現入侵事件的能力。這是因為企業現有的設備已經不足以發現潛伏在企業內網的惡意行為。

另一份較新的報告則統計了APT攻擊活動的分布,指出在今年上半年,台灣成為亞太地區最常遭受APT攻擊的國家,有75%的攻擊是針對台灣。但2013年的統計,台灣還落在南韓、日本之後,排名第三,可見本地的APT問題趨於嚴重。

這份報告中提到,在台灣仍然可以看到大量的Gh0st Rat的跡證,這是攻擊者愛用的遠端操控軟體,且由於此種惡意程式變形變種的成本很低,駭客只要利用加殼變形工具,稍加變形後防毒軟體就無法偵測。至於以受害的產業別來看,攻擊對象涵蓋十?種產業,其中以商業服務與顧問產業為最多,這也很有可能駭客是想鎖定他們服務的客戶。因此企業也應該要注意委外服務廠商本身的資安防護水準。

從這些調查研究中可以歸結出,APT攻擊已經很難百分百避免,這時企業應該要做的是設法及早發現並做出反應,也就是要把229天縮短到在幾分鐘之內,這需要仰賴先進的技術、豐富情資再加上專業的事件處理服務。

先進的技術是指進階威脅防禦設備,情資則包括業界最新的威脅會報與告警,至於事件處理服務,也就是IR(Incident Response)服務,這是目前許多企業所欠缺的,即使是已經有編制專職資安人員的公司亦然。

在台灣,設有專屬資安團隊的公司已經很難能可貴,但由於資安人員大多負責資安設備的採購與管理,不一定具有IR的處理能力,因此不妨尋求專業的IR服務。IR的處理,包括在偵測到威脅之後能夠清點確認受影響的有哪些系統,把威脅範圍侷限住或隔離,並且清除機器上的攻擊程式、惡意行為。當然更重要的是,清除後還要能加強適當的防禦,才能確實避免駭客再次重回系統。

(本文作者現任FireEye台灣區總經理)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!