< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。

作者:Bob Corson

 

對付 APT攻擊/目標攻擊, 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。

APT目標攻擊遊戲

 

現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。

首先,就如同遊戲中所描述,攻擊者類型是不可預測的。如果他們可以被預測,那我們已經投資的現有安全防禦就會是我們所需要的全部。然而,正如我們都知道,也可以在新聞上證實,情況已經不再是如此了。偵察、規劃、遁形和保持不被偵測是現代攻擊者的攻擊手法。你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。最近因為金錢或國際政治誘因而出現在新聞上的資料外洩事件就是這類無法預測行為的攻擊,不幸的是,其規模和範圍只會變得更加嚴重。簡單地說,在很多案例中,回報要遠遠地大於風險,更別說有機會去偵測了。

這就是3D眼鏡作用的地方。任何人只要戴上了這對「紅、藍」鏡片,馬上就能注意到更加深入和全面的觀點。平面的東西突然變得立體;二維事物變得可以互動。拿下了眼鏡,將這深入和互動的觀點帶回到二維的世界。想這一點,我認為最好偵測和應對針對性攻擊的辦法就類似3D眼鏡。這代表你要有能力去看到原本看不見的東西,要能夠與深入見解和資料互動,否則你會錯失掉訊息。要如此做的關鍵是要能偵測到攻擊者,不管他們利用什麼手段或方法去隱藏自己不被發現。那麼,什麼可以做到?

現在就是值得信賴的動作感應偵測器出現的時候。請原諒我先跳到不同卻有相關的情境。很多人都會在家中安裝保全系統。大多數的保全系統都會監視能夠進出你住家的各個點。然而,有了住家保全系統,你也會看到動作感應偵測器出現在家裡。為什麼?為什麼還要浪費時間去監視住家裡面,如果所有的住家周邊都被監視了?

大家都知道,原因很簡單:只依賴周邊偵測器去監視住家是否被入侵並不管用,只會造成了安全的錯覺。去到博物館、餐廳、機場和政府大樓﹔都是一樣的做法。多層次防禦被用來偵測可疑和惡意的行為。這是大家都認為理所當然的做法。

有鑑於此,你要用來偵測和應對針對性攻擊的做法為什麼會有所不同呢?你只需要監控進出你網路的流量而已嗎,只去監控你的網頁和電子郵件流量有意義嗎?攻擊者會遵守這規則並且只嘗試利用這些網路協定來入侵嗎?哎…我們的世界有那麼簡單就好了。

正如你所見,或希望很快就去玩到,APT目標攻擊遊戲的情節是透過現實內針對性攻擊會發生的事情來設定。為了解決問題,你需要的是一套正確的3D眼鏡和動作感應偵測器,可以監控任何發生在你網路內的可疑破壞性活動,讓你可以去偵測那些被設計來不被看見的東西。

為了說明這一點,我將場景再轉到現實。每天有多少筆記型電腦、智慧型手機、iPad或其他設備進出你公司的大門?有多少不屬於你公司直接的管控,但卻已經連到咖啡廳、機場、住家和其他地方的公共網路呢?是否有可能有些設備已經受到入侵,將攻擊者帶到了你的大門呢?而且,你是否可以肯定地說每個正在存取你公司網路的承包商、員工、供應商、客戶或其他個人及組織都是用著合法帳號並且使用管控中並安全的設備?這兩個問題應該可以讓你了解到為什麼只監視周邊及幾個進入點只會讓你想避免的狀況邁出第一步。

希望本文有助於說明能夠去偵測那些本質上設計成無法偵測之事物的價值。最起碼,你需要全方位地監控通過所有網路端口的所有網路流量,利用客製化沙箱技術來檢視超過一百種的協定和應用程式。因為不幸的是,任何未被檢測的事物都會製造出一條路讓你無情且堅持的敵人利用。

請閱讀我們的白皮書,了解更多關於趨勢科技Deep Discovery的資訊,以及我們如何為你提供偵測和回應APT攻擊的能力。

 

@原文出處:To Respond to Targeted Attacks, You Must Detect the Unseen
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接