當 APT 攻擊者擁有很大程度的控制權時,該怎麼辦?

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺 企業該思考的是,當我們的傳統防禦失敗後,接下來有什麼方法來防止APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊?比較好的態度就是假設攻擊已經進到在內部網路裡,因為這會迫使我們去重新思考目前的保護措施。

南韓爆發史上最大駭客攻擊,社交工程信件樣本

了解目標攻擊:我們要如何防禦?

作者:Martin Roesler(威脅研究總監)

上一篇的文章(了解目標攻擊:我們真正對抗的是什麼?)裡,我談到在APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊裡攻擊者所掌握到的優勢。還有接受這事實,好正確地處理攻擊是如何的重要。現在來到困難的部分:當我們認識到攻擊者擁有很大程度的控制權時,我們現在該怎麼辦?

請記住,即使我們認知到攻擊者掌握更大的控制能力時,並不代表我們沒有任何控制能力。我們的確有,而且要記住,如何善用我們所擁有的控制能力去處理目標攻擊是非常重要的關鍵。

控制外圍網路

當然,想要讓任何形式的控制能力真正發揮作用,我們就必須完全瞭解自己到底掌控什麼。牢牢控制誰和什麼東西可以存取網路,和擁有什麼層級的權限可能會犧牲掉大部份員工的便利性,但是想到APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊的危險性,還是把安全性放在第一位比較重要。

確認網路的部分工作就是要有深入的了解,具體化我們認為正常的作業、流程、事件和行為。知道什麼是真正的正常,將有助於更快也更正確地識別出異常來。

一旦確認好網路範圍,另個關鍵是要有監控網路的措施,這裡所談的是對於任何網路進出的能見度和控制能力。可以幫助網路管理員這樣做的技術之一是DNS Response Policy Zone(RPZ)。DNS RPZ提供一個可擴展的方式來管理對於網路的連結。如果加上網域黑名單,就會建立一個更加安全的網路環境。

部署由內到外的防護

傳統的防禦重點在於強化防火牆和透過黑名單來過濾壞份子。而在今日,這個「由外到內」的策略對抗一般的簡單攻擊是很有效,但在面對APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊時就幫不上忙了。傳統防禦是用來對抗那些形式和來源都很容易識別的攻擊,但非目標攻擊。

 

傳統的防禦

一個更佳防禦的典範是魔戒裡的剛鐸首都 – Minas Tirith。這座城堡的設計是將主城放在中心,四周環繞著七層高牆。每一個層都比前一層還高,最外圍的牆壁最低矮,但也最堅固。每層牆壁都有城門,但門與門之間沒有辦法直接通過,每個城門都位在城堡的不同方位。這也是軍事戰略中被稱為「縱深防禦」的策略。它非常有效,因為不僅提供對外部攻擊的防護,還可以防止由內發起的攻擊。套用在網路防禦上,就好像部署多層次防護,並對關鍵資料進行加密。

縱深防禦

高牆也代表了另一個重要策略。就是讓攻擊者越來越難向前滲透,站在高牆上的弓箭手可以鳥瞰著任何風吹草動。同時,弓箭手不只防禦著圍牆外的敵人,還有那些已經出現在內部的敵人。套用在資訊安全上,就是透過網路監控來增加能見度,也讓防禦者對於內部和外部的攻擊都具備相當程度的控制能力。

假設已被入侵,並採取對應的行動

回想一下,在中土世界裡被稱為牢不可破的剛鐸城堡第一牆,最終還是被黑魔王索倫的大軍給擊破了。同樣的,當我們的傳統防禦失敗後,接下來有什麼方法來防止APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊?比較好的態度就是假設攻擊已經進到在內部網路裡,因為這會迫使我們去重新思考目前的保護措施。

@原文出處:Understanding Targeted Attacks: How Do We Defend Ourselves?

[APT 攻擊周爆]

每天 100 次陷阱~一封尋常的工作信,輕易竊得政府機密

APT 攻擊社交工程信件樣本根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。 本案例的信件,假冒寄件人,偽造公家單位、企業行政部門幾乎人手一張的辦公日曆表檔案,連寄件人應該稱呼收件人「老師」都沒弄錯,犯罪手法的精準度令人不寒而慄。

[災難結果]

APT 駭客並非隨機攻擊,而是事先摸清受害者的人際網絡,精心挑選攻擊對象,「客製化」信件內容,像本案例這種再正常不過的信件主旨和 Excel 附件,隱藏惡意程式,卻能輕易躲過一般垃圾郵件過濾機制,內容又是工作上重要或實用的資訊,吸引收件人開啟,只要點兩下滑鼠,政府機密就成為駭客囊中物了。

參加 APT攻擊週爆!投票即可抽獎

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

@延伸閱讀
一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

趨勢科技率先發現最新APT攻擊事件『遮日行動』 政府機關及高科技產業已成箭靶 呼籲IT人員應立即正視 以防有更大規模的損失

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網