作者:洪偉淦 趨勢科技台灣暨香港區總經理
過去企業最關注的資安威脅,往往是全球病毒爆發事件,但從2011年起,焦點則轉向APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),因為就連資安把關嚴密的大型企業,都能被 APT突穿防線而渾然不知,顯見此類攻擊確實可怕,難怪舉世為之震驚。
APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)是客製化的目標式攻擊,處心積慮就是要透滲攻擊目標,所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線,早已深諳閃避之道,也擅長運用社交工程郵件以假亂真,讓員工在不疑有他的情況下,淪為駭客的禁臠,企業那怕做再多宣導與訓練,終將防不勝防。
企業如何因應APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)?第一步即是調整心態,先假設自己已遭攻擊,然後一方面積極提高被攻擊的門檻,避免持續遭到滲透,二方面設法早期發現、儘速處理。針對「發現」與「處理」,企業亦應有所體認,面對客製化攻擊,唯有運用客製化防禦才能順利反制,莫再倚賴一體適用的工具,只因這些工具根本無效;此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立,方可做到客製化的防禦。
要滿足上述目標,少不得需要工具輔助。所以近年來,奠基於沙箱模擬分析技術的APT解決方案,一一現身於市場,以協助用戶揪出惡意檔案,並據此求助防毒軟體廠商,儘速清理禍害。這類方案確實擁有一定價值,但亦存在若干盲點。 沙箱模擬是必要的分析工具,但單靠此一技術難以抑止實際攻擊。首先,高達九成APT攻擊,皆以社交工程郵件為先遣部隊,企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部,以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。
其次,APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)惡意程式運作行為複雜,其特徵與型態明顯超出傳統防毒軟體的認知範圍,所以未必能有效以傳統解藥清除。
所以企業想要對付APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),須特別注意另外兩道重要防線。一是閘道端的社交工程郵件攔截機制,先將大多數APT先遣部隊拒於企業門外,縱使有少數矇混過關,亦可縮小打擊面,大幅減輕後續處理負擔;另一則是引進「事件處理(Incident Response ,IR)」工具及顧問服務,由精通於資安威脅的外部專才從旁指點,幫助企業分析並發掘深層潛伏的威脅,將埋伏在各個端點的暗樁,悉數加以剷除。
總括來說,完整的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)防線,必須涵蓋社交工程郵件閘道攔截、模擬分析、網路監測、惡意程式清除等必要工具,並結合IR顧問服務的奧援,方能將受害機率降到最低;愈能一舉提供完整工具與服務的廠商,自然愈值得用戶託以重任。
@原文出處:網管人
看更多本系列文章:
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo
◎ 歡迎加入趨勢科技社群網站
