雲端安全和APT防禦是同一件事嗎？

作者：趨勢科技Andy Dancer

我最近在RSA上還有許多無法趕上演說的人前講到這個主題，他們問到這兩個看似無關的領域之間有什麼關連，我答應會寫出來好讓更多人可以了解，所以就是這篇了：

進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體，但實際上並非如此。通常「進階」是指研究上的難度，還有社交工程陷阱( Social Engineering)的設計，讓受駭目標去做出不該做的行為，並讓他們點下攻擊者所選的連結。

一旦攻擊者掌控了一台位在企業內部的電腦，就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法，當修補程式出了一段時間之後，攻擊者還是可以攻擊成功，因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦，有著足夠的時間（持續性）來悄悄地探測，直到發現他們可以利用的漏洞。

所以，你該如何抵禦這種目標攻擊？底下是幾件我們認為最該做的事：

減少噪音

保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。

建立碎型外部防禦

碎型是種數學形狀，它跟原本的形狀一樣，只是比較小。所以，當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦，多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上，可以在真正上修補程式前就提供保護，這在有人試圖攻擊漏洞時很重要。

利用專門軟體來監控內部網路流量

不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路，以確保在攻擊發生時會收到警訊。

追蹤和清理

當外面的電腦被攻擊之後，除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊，而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要，不只是因為你阻止這次攻擊，更重要的是你現在知道內部有機器正在做些不該做的事，而你可以在它試圖做出更複雜而不被偵測的攻擊（或是攻擊者連上來控制）之前就修復它。

保護你的資料

如果一切防護都失敗了，攻擊者已經突破了你的防禦，直達你的重要資料，其實還不算結束。你需要由內而外的第二道防禦，也就是資料加密，再利用資料防護來追蹤被帶走了什麼資料，並了解有哪些內容被盜走了。

假設已經被入侵成功了

應該預先設定的狀況是假設你旁邊的電腦已經被入侵了，並且據此來設定對應的防禦。

最後的重點就是前面六點的總結，同時也提供了跟雲端安全之間的連結。在一個多租戶的環境（IaaS）底下，你應該假設你附近的機器有可能會攻擊你，並據此來設定防禦措施。你的供應商會提供許多安全功能：外圍防火牆、IPS等，還有在客戶間所做的內部網路分割，這些設計都是為了你的安全，但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法，但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料，所以就算你的供應商將之放錯地方，你也還是受到保護的。這在商業上還有另外一個好處，就是當你想要更換供應商時，不論是因為價格更低或是功能更好，也都不必擔心你會遺留下敏感資料。

對於內部（私有）雲來說也同樣適用。因為成本和運作效率，會將服務都放在一起，這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了，在環境裡實施虛擬分割，而跟實體環境相比，利用外圍防護和加密可以保持同樣甚至更提高安全性，同時利用無代理方案也會盡可能地保持相同的效能。

所以雲端安全和APT防禦可能不是同一件事情，但他們可以有一樣的作法！

＠原文出處：Cloud Security and APT defense – Identical Twins?

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業，長期間進行有計劃性、組織性竊取情資行為,可能持續幾天，幾週，幾個月，甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

【客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

【安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）審查。

【傳送情資】將過濾後的敏感機密資料，利用加密方式外傳

@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕