幾年前如果公司發生資安事件,系統管理員或是中階主管將被追究責任甚至解僱。現在是資訊長和資訊安全長會因為資料外洩事件而被解僱。公司現在認真看待這件事是好事,但如果你是資訊長或資訊安全長,這對你來說可能就不大妙了。
每當人們想到「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)和針對性攻擊/鎖定目標攻擊(Targeted attack ),都不禁要問:是誰做的?他們想要什麼?雖然這些問題都很有意思,我們認為更重要的是要問:關於攻擊者的哪些資訊可以更好的幫助企業保護自己?
讓我們從網路管理者捍衛自己組織的觀點來看這件事情。如果有人想確認誰是攻擊自己組織的幕後黑手,第一步或許會用IP地址來嘗試鎖定攻擊者的位置。但是,就好比追查攻擊追到位在韓國的網頁伺服器。有什麼理由說服我們攻擊者並沒有同時入侵了這伺服器?是什麼讓你認為網站負責人會配合你進行調查?
在複雜的攻擊中,常常可以看到攻擊者從一台被入侵機器連到另一台。你可以嘗試盡可能的追查下去,但幾乎很難追查到關於攻擊者的蛛絲馬跡。我們真的沒辦法取得像情報單位那樣多關於攻擊者的資料。我們可以使用開放的資料庫但有其極限。有時攻擊者會犯錯 – 在這時候我們可以討論他們是誰,他們針對誰等等。但如果你需要防護組織,就不能指望這一點。
了解你要面對什麼樣的攻擊
這不是說你該完全忽略誰在攻擊你。而是不管他們是誰,更加重要的是他們會做什麼。比方說,如果有人用任何腳本小子(script kiddie)都可以從網路上取得的工具來攻擊你,這可能並非嚴重的威脅。如果有人用新的漏洞和精心設計的惡意軟體來攻擊你,那就要注意了。 繼續閱讀
