有各式各樣的原因讓目標攻擊可能發生在幾乎任何一家公司。其中最大的一個原因就是為了竊取公司的專有資料。許多機密資料可能都非常的有價值。智慧財產權通常是第一個會想到的目標。還有一些比較不明顯的目標也有其價值:例如金融資料,員工和客戶的個人資料,待完成銷售、財務交易和法律行動的相關資料等。不過一家公司被當成目標的原因也可能和他們的產品或資料無關。
目標攻擊是攻擊起點
攻擊者可能會針對一家公司,好利用這新得手的網路基礎設施來發動對其他組織的攻擊。在某些案例中,攻擊者會利用受駭者的電子郵件帳號來增加他們魚叉式網路釣魚(Phishing)攻擊郵件的可信度。
另一個被當成目標的可能原因跟該公司所連接的網路有關。小廠商可能會是大型組織的供應商之一,因此需要連接到大型組織的網路。對攻擊者來說,透過這小供應商的網路會更加容易也更為隱蔽,不會在大型組織的網路內留下痕跡。
此外,一家公司也可能單純的被當成跳板,用來掩蓋攻擊者和目標之間的攻擊路徑。
面對目標攻擊可以做些什麼?
不幸的是,時間和機會都在攻擊者這一邊。不管公司的防禦有多好,只要一個設定錯誤或某個使用者打開惡意檔案或連到有問題的網站,就可能會讓公司受到影響。一旦攻擊者進入公司網路,受駭目標必須要能儘快的加以偵測和控制。在這時間點,可以進行完整的鑑識調查來看看攻擊者去過哪些地方和造成哪些損害。
那有什麼是公司可以做以面對目標攻擊的?答案是肯定的。
過程可能非常耗時,但是公司可以先專注在兩個方面來將損害降到最低程度,同時也讓事件調查可以盡可能的快速和成功。第一個方面跟基礎設施有關,適當的紀錄政策,網路分割,加強使用者的安全政策和保護關鍵資料。第二個方面和人有關。公司要有自己已經受過訓練和運作正常的威脅情報小組和事件調查小組。
為了幫助改善安全狀態,滲透測試對公司來說可能會很有幫助。從測試結果裡可以得知很多事情,不管是否真的需要。最起碼要做網路測試,如果可以的話,也要進行社交工程和實體安全測試。一旦完成,滲透測試可以用來作為事件調查小組的訓練工具,並將所發現的資料提供給公司,有助於瞭解整體的安全性問題。
安全是種投資
這些準備工作是有成本的,但它們和一次嚴重的目標攻擊調查成本比起來還是小巫見大巫。除了進行調查所需的金額外,還有難以計算的成本像是:失去合約、投資者失去信心或是法律訴訟。對公司來說,忽略掉可能成為目標攻擊受害者的風險成本實在是太昂貴了。
關於更多組織該如何進行以盡量減少成為目標攻擊受害者風險的詳細資料,可以參考我們的報告 – 「幫助公司對抗目標攻擊的建議」。我們的網站上也有其他針對目標攻擊的討論放在目標攻擊的威脅情報資源頁面。
希望你會發現這些建議對於保護你的網路安全很有用。
@原文出處:Can Companies Fight Against Targeted Attacks? 作者:Jim· Gogolinski(資深威脅研究員)
◎延伸閱讀
本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
