《CloudSec會後報導》趨勢科技獨創洋蔥式資安應變處理策略,有效降低APT入侵風險

台灣已經成為亞太區遭受APT攻擊次數前三名的國家,企業若能藉由趨勢科技APT攻擊研究中心、資安事件調查團隊的協助,強化資安壁壘,即可將APT攻擊帶來的傷害降到最低,讓企業得以保有長遠的競爭優勢。

趨勢科技獨創洋蔥式資安應變處理策略 有效降低 APT入侵風險

2013年初南韓政府、金融單位遭受北韓駭客以APT手法惡意入侵,導致上千台個人電腦被癱瘓、重要資料被竊;多數人對前述攻擊事件記憶依然深刻之際,全美第二大零售商Target又在2013年底被駭客以APT手法攻陷,成功竊取1億1000萬筆資料,不僅讓該公司營收大幅降低,事後更得面臨高達80件集體法律訴訟案。

從上述多項資安事件可以發現,駭客已經從過去漫無目標式的隨意攻擊,轉為有組織、計畫性的惡意入侵,成為企業揮之不去的夢魘。因此趨勢科技特別在2014年8月12日舉辦CLOUDSEC 2014 企業資安高峰論壇,會中除邀請多位資安專家與會,詳細剖析APT攻擊流程及企業面臨的資安困境,也更進一步介紹趨勢科技對抗APT攻擊的策略與相關解決方案。

趨勢科技台灣暨香港區總經理洪偉淦說,根據IANS Survey公司的研究報告顯示,現今有超過50%資安事件屬於精準式攻擊,證明駭客為讓攻擊更有效率,已揚棄過去亂槍打鳥的手法,改以事前詳細分析、找出網路漏洞,再進一步植入多種惡意程式,最終達成竊取重要機密資料的目的。

傳統防護工具落伍 無法阻擋APT手法

近年來APT攻擊事件暴增,除肇因於駭客行動模式,從過去單打獨鬥走向團體戰,使得攻擊手法愈來愈複雜之外,以專門販售惡意程式為主的地下經濟猖獗,也是造成資安事件頻傳的主要原因。統計資料顯示,有超過 75% APT攻擊事件源自於駭客組織販售的攻擊套件,使用者只需要具備基本程式基礎,即可針對尚未完成漏洞修補的網站或企業發動攻擊,成功入侵公司內部的重要主機。

耕耘資安市場多年的趨勢科技,在2013年發表的台灣進階持續性威脅APT白皮書中指出,有超過80%企業不知道其已遭受APT攻擊。受駭企業往往得等到駭客入侵很長一段時間後才會發覺,例如高科技產業平均要經過346 天才會發現已遭受到APT攻擊,部分公司甚至要到第1019 天才會察覺;因此才會有高達77%受駭企業在發現問題時,主機、用戶端電腦多半已經被駭客取得完全掌控。

洪偉淦表示,在傳統資安防護工具無法阻絕APT攻擊的情況下,趨勢科技推出一套智慧型防護策略,也就是利用Prevent、Detect、Analyze、Respond等面向,保護企業網路免於APT攻擊的威脅,並且透過雲端分析平台的協助,即時揪出潛藏在企業內部中的惡意程式。

趨勢科技成立APT研究小組 分析駭客攻擊行為

趨勢科技多年來協助台灣企業處理資安事件,發現後門程式在APT攻擊過程中扮演一個相當重要的角色:除能在攻擊發起後控制電腦外,駭客也會藉此進行內網入侵與擴散。不同國家面臨的攻擊行為亦大不相同,故趨勢科技特別在台灣成立APT研究小組,以便能隨時掌握台灣企業面臨的APT威脅型態;若能瞭解後門程式的演進歷程及躲過資安工具的偵測的方法,即可可歸納出適合的阻擋方法,保護企業內部機密資料的安全。

在眾多後門程式之中,Port Binding(綁定通訊埠)是最常見的工具軟體,該程式是利用資安人員設定防火牆時的疏忽,以未受管控的網路埠連回C & C伺服器。過去要杜絕Port Binding軟體,只要透過防火牆關閉所有的網路埠,只允許特定應用程式的封包通過即可。但鑑於資安人員的防護觀念日漸提升,不少後門程式便直接改用合法應用程式所使用的埠號,如瀏覽器常用的Port:80、443,以躲過防火牆的封鎖與偵察。

「從後門程式的演變過程可以發現,駭客同樣一直在研究資安人員採取的防護策略,希望可躲過資安設備的封鎖與偵測。」趨勢科技APT研究員 Dove Chiu指出:「駭客甚至也已經針對近年流行的沙箱技術,設計一套辨識方法,會以提供假C & C伺服器位置,讓資安人員誤以為已經阻斷惡意連線。因此負責網路安全的資安團隊必須更有耐心分析,才能找出真正的潛在威脅。」

資安事件調查團隊經驗豐富 推出洋蔥式資安應變處理策略

在日趨複雜的網路環境中,企業除面臨來自國家級組織型駭客攻擊外,也得對抗許多以竊取營業秘密資料為主業的駭客組織,尤其台灣高科技、金融業產業等,更是經常受到各種針對性的惡意攻擊。然而多數企業對資安威脅認知不足,防禦架構仍是為傳統資安威脅所設計,沒有預先思考駭客突破防線後應當採取的機制,以致於一旦發生駭客入侵事件時,根本無法採取有效的防護措施。

有鑒於此,趨勢科技早在二年前便成立資安事件調查團隊,長期協助客戶執行駭客入侵調查,至今已服務113家客戶、執行超過250次專案,專案人員調查時間超過10000小時的工時。而且趨勢科技也從250個調查案件中,設計一套針對台灣資安環境設計的「洋蔥式資安應變處理策略」:也就是以企業核心主機為中心,由內而外地拔除駭客的控制權,短時間內遏止駭客持續對企業造成損害。

趨勢科技資安顧問邱豊翔解釋:「洋蔥式資安應變處理策略適用於內部擴散階段,到處都是駭客控制權的環境中。其目的是阻止損失擴大,所以資安人員要放棄一次阻絕的想法,從優先保護重要主機著手,才能在有限資源的狀況下,於短期內收到一定程度的防護效果。」

台灣已經成為亞太區遭受APT攻擊次數前三名的國家,企業若能藉由趨勢科技APT研究中心、資安事件調查團隊的協助,強化資安壁壘,即可將APT攻擊帶來的傷害降到最低,讓企業得以保有長遠的競爭優勢。

CloudSec 會後報導:趨勢科技獨創洋蔥式資安應變處理策略,有效降低APT入侵風險
點小圖看全文