在趨勢科技的2014年預測裡提到,我們相信每個月都會有一起重大的資料外洩事件出現。美國零售商的資料外洩事件報導迎來了新的一年,數百萬消費者的信用卡資料在這起事件裡被竊。這樣的規模和嚴重程度讓人無法忽視。雖然大部分的報導(實體或網路)都專注在誰是惡意軟體作者之類的手法問題上。但從長遠的角度來看,更重要的是是否有很多方法可以防範這類的攻擊,或有什麼安全措施可以用來對抗這類攻擊。
比方說,門市銷售系統(POS)是實施白名單或系統鎖定的理想狀況:在POS系統上不需要執行一般的應用程式。鎖定系統會使得在POS設備上執行惡意軟體變得更加困難。
另一方面,這樣大規模地的攻擊,將惡意軟體分別地安裝到每個POS系統是極不可能的事。幾乎可以肯定有某種遠端管理軟體用來將惡意軟體安裝到POS系統。這並不是第一次用來自動化安裝軟體的系統被入侵;去年韓國有多個應用程式的自動更新系統被用來植入惡意軟體到受影響系統上。
這樣大量的資料在網路上移動也應該要被偵測。網路防禦解決方案可以偵測這起攻擊所產生的內部網路流量或資料外洩流量,或是兩者都可偵測。
這起攻擊的大致輪廓已經知道,但細節(像是所用的安全程序以及如何被避開)則尚未公開。不過需要處理重要資料的企業還是可以利用這起事件,判斷自己是否在相同模式的攻擊下會處在危險中。這類情況下的企業應該要仔細檢查所有可行的安全程序和產品都有加以使用,並且正確的設定。同時也有訓練有素的IT人員可以在事件發生時加以處理。
有一件事非常清楚,對於高價值目標來說,只有端點安全防護已經不再足夠。正如我們前面所提到,基於偵測網路和系統行為的防護(如Deep Discovery和Deep Security)在處理這類威脅時相當有用。企業如果還沒有部署這類解決方案,應該要考慮部署,以防止類似的攻擊。處在類似情況的企業現在大有可能必須要面對這類的攻擊。
趨勢科技將這次攻擊所用的惡意軟體偵測為TSPY_POCARDL.AB和TSPY_POCARDL.U,如果繼續發現任何相關威脅,我們將會提供進一步的必要防護。關於這次事件的常見問題回答提供在Simply Security部落格。