作者:Rik Ferguson
圖片來自Flickr上的IndigoValley
經過上週所發生針對「紐約時報」、「華爾街日報」和「華盛頓郵報」的攻擊之後。另一個令人震驚的新受害者出現了 – 「美國能源部」,負責美國核武軍火庫的美國國家核能安全管理局所屬的單位,也成為了被入侵的受害者。
根據美國華盛頓自由燈塔(Free Beacon)的一份報告,官員已經證實有十四台伺服器和廿台工作站在攻擊中被入侵。
在目前這早期階段,還沒有太多攻擊細節被官方所釋出,並沒有辦法去做出什麼結論,但就我們所知道的部分已經令人感到非常擔憂了。華盛頓自由燈塔(Free Beacon)的報告指出:「他們認為這起複雜的滲透攻擊並不只是竊取個人資料。有跡象顯示,攻擊者帶有其他目的,可能包括計劃進一步去存取機密和其他敏感資料。」這說明在這起攻擊中沒有機密資料被存取。已經被證實的是有數百名員工的個人資料被讀取。
APT攻擊/目標攻擊特質:用多次行動組成攻擊活動
如果這次攻擊的意圖和間諜活動有關,這也是目前最有可能的原因,那攻擊者是不大可能因為一次失敗就放棄的。現代攻擊的特質就是會用多次行動組成攻擊活動,而不會是單獨的攻擊。即使沒有機密資料被存取(而這是「仍在調查中」,我懷疑這結論為何可以如此肯定),已經確認被讀取過的資料還是非常的寶貴,可以用來建立未來的目標攻擊,去針對那些能源部和國家核能安全管理局等知名目標的員工。
許多國家都一直投資最先進的技術用作國際間諜目的,而且還會繼續下去,這應該並不奇怪。所以政府和企業也應該為自己的員工和國民公民利用類似的尖端科技去加密敏感資料,以及監控重要網路以即時掌握可疑的行為。攻擊一個如此高風險的組織不會只是次簡單的行動而已。
衡量傳統防毒技術的有效性:能否偵測客製化目標攻擊?
當熱門媒體在提到有關入侵的故事時,都放大了安裝在受害者組織上的防毒解決方案並沒有找出攻擊者所使用的惡意檔案。而這也是問題之一,當組織遇到先進的目標攻擊時,還繼續依賴著單一層面的安全防護,往往是設計用來解決完全不同的問題。
透過是否能夠偵測客製化目標攻擊來衡量傳統防毒技術的有效性,就像是用能否拔起釘子來衡量搥子是否有用一樣。這只是用錯工具來做事情而已。如果攻擊者不能繞過你的防毒軟體,那他就談不上什麼「目標」攻擊。在面對今日的威脅環境,安全策略必須要以「會發生入侵外洩」為前提來設計。要能夠在發生時提供即時、可供反應的資訊。讓受害者可以快速地控制狀況並加以解決。
@原文出處:US Energy Department next victim of Targeted Attack
◎延伸閱讀
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚