雲端安全和APT防禦是同一件事嗎?

作者:趨勢科技Andy Dancer

 我最近在RSA上還有許多無法趕上演說的人前講到這個主題,他們問到這兩個看似無關的領域之間有什麼關連,我答應會寫出來好讓更多人可以了解,所以就是這篇了:

進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體,但實際上並非如此。通常「進階」是指研究上的難度,還有社交工程陷阱( Social Engineering)的設計,讓受駭目標去做出不該做的行為,並讓他們點下攻擊者所選的連結。

一旦攻擊者掌控了一台位在企業內部的電腦,就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法,當修補程式出了一段時間之後,攻擊者還是可以攻擊成功,因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦,有著足夠的時間(持續性)來悄悄地探測,直到發現他們可以利用的漏洞。

所以,你該如何抵禦這種目標攻擊?底下是幾件我們認為最該做的事:

 減少噪音

 保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。

 建立碎型外部防禦

 碎型是種數學形狀,它跟原本的形狀一樣,只是比較小。所以,當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦,多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上,可以在真正上修補程式前就提供保護,這在有人試圖攻擊漏洞時很重要。

 利用專門軟體來監控內部網路流量 

不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路,以確保在攻擊發生時會收到警訊。

 追蹤和清理

當外面的電腦被攻擊之後,除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊,而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要,不只是因為你阻止這次攻擊,更重要的是你現在知道內部有機器正在做些不該做的事,而你可以在它試圖做出更複雜而不被偵測的攻擊(或是攻擊者連上來控制)之前就修復它。

保護你的資料

如果一切防護都失敗了,攻擊者已經突破了你的防禦,直達你的重要資料,其實還不算結束。你需要由內而外的第二道防禦,也就是資料加密,再利用資料防護來追蹤被帶走了什麼資料,並了解有哪些內容被盜走了。

假設已經被入侵成功了

應該預先設定的狀況是假設你旁邊的電腦已經被入侵了,並且據此來設定對應的防禦。 

最後的重點就是前面六點的總結,同時也提供了跟雲端安全之間的連結。在一個多租戶的環境(IaaS)底下,你應該假設你附近的機器有可能會攻擊你,並據此來設定防禦措施。你的供應商會提供許多安全功能:外圍防火牆、IPS等,還有在客戶間所做的內部網路分割,這些設計都是為了你的安全,但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法,但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料,所以就算你的供應商將之放錯地方,你也還是受到保護的。這在商業上還有另外一個好處,就是當你想要更換供應商時,不論是因為價格更低或是功能更好,也都不必擔心你會遺留下敏感資料。

 對於內部(私有)雲來說也同樣適用。因為成本和運作效率,會將服務都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了,在環境裡實施虛擬分割,而跟實體環境相比,利用外圍防護和加密可以保持同樣甚至更提高安全性,同時利用無代理方案也會盡可能地保持相同的效能。

 所以雲端安全和APT防禦可能不是同一件事情,但他們可以有一樣的作法!

 @原文出處:Cloud Security and APT defense – Identical Twins?

 

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

 

@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

 

 APT 你命名 我送禮

◎ 歡迎加入趨勢科技社群網站

 

數位時代的隱私問題 但誰是資料的主人

在網路上,對於隱私權的擔憂是一直存在的,而最近的新聞事件將這問題更加的推到眾人面前。

儘管有許多團體(包括了法國歐盟的監管單位)都加以反對,但在本月早些時候,Google開始實施「新」的隱私權政策。新的隱私權政策讓Google可以整合使用者在所有服務間的資料,這是之前沒有過的。根據Google的說法,這是為了「更加簡單直覺的Google體驗」。

不只是搜尋引擎有隱私權的問題。在二月初,流行的行動軟體PathHipster被發現會將使用者的通訊錄上傳到他們的伺服器。後來iOSAndroid也都被發現在未經授權時,就會讓應用程式可以存取使用者的照片。

到目前為止,還沒有一套讓企業在握有我們的資料時,可以遵循以及負責的準則。基本上,當企業能夠存取我們的個人資料,並且將之存放到他們自己的設備來加以處理時,那對隱私的後果就可以想見了。

今年二月,許多廣告網路和龍頭網路公司,像是AOLGoogle,微軟和雅虎都同意實行「請勿追蹤」功能:基本上,它會讓網站(還有廣告網路)停止追蹤使用者。這也封鎖了廣告商的某些做法,像是個性化廣告。(我們之前在電子書 小心保護線上隱私」中討論過個性化廣告。)

這是根據白宮所提出的「消費者隱私權法案」,這份白皮書包括的各項原則,老實說都是些基本常識:他們讓使用者的線上資料得到和不是放在網路上的資料一樣的保護。從根本上,美國的做法是先呼籲網路公司和產業界去自願實行這些規範,然後再由監管單位來作強制執行。

這是否意味使用者再也不需擔心自己的隱私問題,而廣告商和網站也不會再濫用他們對使用者所知的一切?可悲的是,當然遠非如此。

請勿追踪宣言並沒有任何東西會被立刻實施。要如何實施請勿追蹤,而且它到底該如何運作,這些問題都還尚未完全清楚。總之,需要一點時間讓請勿追踪變成使用者可以真正去選的功能。 繼續閱讀

近年惡名昭彰的Mac威脅

蘋果產品的強大吸引力是不可否認的。每次產品或軟體的發表都是備受矚目和期待。它最新發表的 – OS X 山獅(Mountain Lion)也不例外。雖然還沒有正式推出,但是已經有許多文章在介紹它的功能。

山獅被推薦的功能之一就是安全守門員(Gatekeeper),利用白名單來幫使用者避免下載到不好的應用程式。這個功能會限制只有特定地方下載的應用程式才能執行。安全守門員計劃要有三個層級 – 只允許從 App Store下載的應用程式,只允許App Store或受信任開發人員簽章過的應用程式,以及沒有限制。雖然這個功能的用意是好的,但是犯罪份子想辦法去成功繞過或利用這個功能也只是時間上的問題。

讓系統內建這樣的安全功能可能會讓一些使用者感到意外,因為他們可能還是認為蘋果電腦很安全,並沒有惡意軟體。但事實上,趨勢科技最近才發現有新的Mac惡意軟體會將自己偽裝成圖片檔。它會植入另外一個惡意檔案去執行指令,藉以蒐集受感染系統上的資料。

雖然Mac惡意軟體的數量並不像Windows上那麼多,但這並不代表可以對Mac惡意軟體掉以輕心。就跟Windows一樣,Mac惡意軟體也會在受感染系統上造成嚴重的傷害。在我們的資料圖表 – 「爛到骨子裡」,我們要來看一看過去這幾年最惡名昭彰的Mac惡意軟體。

               趨勢科技的Smart Surfing for Mac可以封鎖惡意網址連結,並定期掃描Mac上的惡意軟體來偵測並清除病毒和間諜軟體。中文版即將上市,敬請鎖定趨勢科技粉絲頁相關訊息                

趨勢科技的Smart Surfing for Mac可以封鎖惡意網址連結,並定期掃描Mac上的惡意軟體來偵測並清除病毒和間諜軟體。–>即刻下載試用
中文版即將上市,敬請鎖定趨勢科技粉絲頁相關訊息公告。

 

@原文出處:A Look into the Most Notorious Mac Threats作者:Abigail Pichel

@延伸閱讀

時代變了 Mac使用者現在也會遭受目標攻擊
如何打擊假防毒軟體來保護你的Mac
搜尋 Google圖片竟被導入惡意網頁, Mac 用戶也受駭
假防毒軟體在 Mac OS X 作業系統上的感染過程
利用 iOS 漏洞的 iPhone 線上破解

 
◎ 歡迎加入趨勢科技社群網站

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

一個值得慶祝的消息,俄羅斯特警隊在俄羅斯逮捕了八個人。Gary Warner(阿拉巴馬大學伯明罕分校)在他的部落格內針對這個逮捕事件有篇很棒的文章,所以我在這裡就不再重複細節了。

雖說如此,我還是想說這是另一個很好的例子,顯示民間企業研究單位和國際執法組織之間如何進行跨國合作。趨勢科技希望在未來我們可以看到更多像這樣的例子,讓那些可惡的網路犯罪分子不再以為他們躲在法律鞭長莫及的地方。

網路犯罪分子不該認為他們可以隱藏在任何特定國家或司法管轄區域,而且因為國際法律的差異而避免被起訴。這起事件,還有最近在東歐的逮捕事件,都顯示了執法單位的跨國行動還是可以逮到他們。

就像Warner教授的部落格中所提到,趨勢科技的威脅研究部門在幾年前就對CARBERP做了相當研究,特別是深入地去舉出被當做目標攻擊的受害者。趨勢科技看到了在政府單位、產業界、學術界都有被當成目標攻擊的受害者,而且有許多的受害者銀行帳戶在不知不覺中被竊取了金錢。

CARBERP是一個特別討厭的銀行木馬,可以在沒有管理員權限下安裝,也能有效地躲過Windows 7和Vista的使用者帳戶控制(UAC)功能。

 

雖然CARBERP的數量跟普及程度看起來還不及ZeuS和SpyEye,但自從CARBERP在2009年下半年出現開始,趨勢科技看到了數量一直在穩定的成長(見圖1)。

 

《目標攻擊》狡猾的銀行木馬CARBERP始作庸者遭跨國逮捕

 

此外,根據趨勢科技的記錄顯示,幾乎有四分之一的CARBERP病毒感染發生在德國(見圖2)。

繼續閱讀