標籤: 雲端

雲端安全和APT防禦是同一件事嗎?

趨勢科技 TrendMicro

作者:趨勢科技Andy Dancer

 我最近在RSA上還有許多無法趕上演說的人前講到這個主題,他們問到這兩個看似無關的領域之間有什麼關連,我答應會寫出來好讓更多人可以了解,所以就是這篇了:

進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體,但實際上並非如此。通常「進階」是指研究上的難度,還有社交工程陷阱( Social Engineering)的設計,讓受駭目標去做出不該做的行為,並讓他們點下攻擊者所選的連結。

一旦攻擊者掌控了一台位在企業內部的電腦,就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法,當修補程式出了一段時間之後,攻擊者還是可以攻擊成功,因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦,有著足夠的時間(持續性)來悄悄地探測,直到發現他們可以利用的漏洞。

所以,你該如何抵禦這種目標攻擊?底下是幾件我們認為最該做的事:

 減少噪音

 保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。

 建立碎型外部防禦

 碎型是種數學形狀,它跟原本的形狀一樣,只是比較小。所以,當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦,多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上,可以在真正上修補程式前就提供保護,這在有人試圖攻擊漏洞時很重要。

 利用專門軟體來監控內部網路流量 

不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路,以確保在攻擊發生時會收到警訊。

 追蹤和清理

當外面的電腦被攻擊之後,除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊,而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要,不只是因為你阻止這次攻擊,更重要的是你現在知道內部有機器正在做些不該做的事,而你可以在它試圖做出更複雜而不被偵測的攻擊(或是攻擊者連上來控制)之前就修復它。

保護你的資料

如果一切防護都失敗了,攻擊者已經突破了你的防禦,直達你的重要資料,其實還不算結束。你需要由內而外的第二道防禦,也就是資料加密,再利用資料防護來追蹤被帶走了什麼資料,並了解有哪些內容被盜走了。

假設已經被入侵成功了

應該預先設定的狀況是假設你旁邊的電腦已經被入侵了,並且據此來設定對應的防禦。 

最後的重點就是前面六點的總結,同時也提供了跟雲端安全之間的連結。在一個多租戶的環境(IaaS)底下,你應該假設你附近的機器有可能會攻擊你,並據此來設定防禦措施。你的供應商會提供許多安全功能:外圍防火牆、IPS等,還有在客戶間所做的內部網路分割,這些設計都是為了你的安全,但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法,但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料,所以就算你的供應商將之放錯地方,你也還是受到保護的。這在商業上還有另外一個好處,就是當你想要更換供應商時,不論是因為價格更低或是功能更好,也都不必擔心你會遺留下敏感資料。

 對於內部(私有)雲來說也同樣適用。因為成本和運作效率,會將服務都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了,在環境裡實施虛擬分割,而跟實體環境相比,利用外圍防護和加密可以保持同樣甚至更提高安全性,同時利用無代理方案也會盡可能地保持相同的效能。

 所以雲端安全和APT防禦可能不是同一件事情,但他們可以有一樣的作法!

 @原文出處:Cloud Security and APT defense – Identical Twins?

 

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

 

@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

 

APT 你命名 我送禮

◎ 歡迎加入趨勢科技社群網站

 

趨勢科技發表2012資安關鍵十二大預測

趨勢科技 TrendMicro

 

企業高敏度資料與行動資安防護備受注目

APT BYODMobile apps則成資安三大關鍵戰場

 2012 1 4 日,台北訊】全球雲端資訊安全領導廠商趨勢科技(東京證券交易所股票代碼:4704) 今日發表新年度企業展望,並針對2012資安市場發布「資安關鍵十二大預測」(12 Threat Predictions for 2012)。趨勢科技2011年在雲端資安布局已有顯著成效,不僅在個人消費性及企業資安市場榮登雲端資安市占率第一名的寶座,在行動裝置安全亦有完整的布局。而針對2012年的整體威脅上,預測中指出資料安全保護已成為資安的關鍵主戰場,不論個人或企業皆須跳脫傳統單純防毒思維,進一步思考防護私密資料的重要性。

 趨勢科技台灣及香港區總經理洪偉淦表示:「隨著智慧型手機市場日益擴大以及平板電腦的銷售量不斷提升,行動資安已是消費者不容忽視的重點議題。因此行動安全將是趨勢科技2012年消費性資安防護的頭號重點。」另一方面,透過社交工程手法展開攻擊以竊取個資牟利亦為消費者需持續防範的駭客手法。

 而在企業端方面,趨勢科技特別指出由於企業建構虛擬化環境逐漸普及,並伴隨使用行動裝置的普及率升高,在使用雲端資訊流存取的快速及方便之時,如何建立有效保護資料的安全架構將為IT 系統管理員最迫切的挑戰。洪偉淦進一步說明:「在2011年網路犯罪者對大型企業的客製化APT攻擊 (Advanced Persistent Threat , APT) 已有數起案例,預期今年將會越演越烈,而擁有機密資料的中小企業也將成為APT攻擊的目標,中小企業主不可不防。。而隨著個資法施行細則於2011年11月上路,趨勢科技也將盡全力協助企業客戶做好周全防護!」

 

資料是駭客的目的 也是資訊安全架構的防護重心

趨勢科技同步提出「2012 關鍵12 資安威脅預測」報告,主要分為IT趨勢預測、行動運算、威脅情勢,以及資料外洩與資安事件等四大面向。

 

  • IT趨勢預測:實體、虛擬與雲端等系統的保護工程日趨複雜將是IT人員的最大挑戰

雖然針對虛擬機器 (VM) 與雲端服務攻擊的專門手法已存在,但網路犯罪者在攻擊虛擬或雲

端平台時,多數仍採用傳統實體攻擊手法,因為虛擬和雲端平台易被攻擊卻更難防護,採用

虛擬與雲端此纇新技術的同時,如何妥切保護公司機密資料是IT人員的最大挑戰。

  • IT趨勢預測:資安與資料外洩事件將迫使全球企業在2012年正視使用者個人裝置 (BYOD)盛行, 對資訊安全維護的挑戰

個人裝置 (Bring-Your-Own-Device,簡稱 BYOD) 的時代已經來臨。隨著更多企業資料透過這

些裝置來存取或儲存,IT人員無法管理這些裝置,或是這些裝置未受到充分保護,恐導致資

料外洩的事件不斷增加,預期2012企業將被迫重視個人裝置的管理,尋找資料保護最佳的因

應之道。

  • 行動運算:行動裝置應用程式(Mobile APPs)的安全漏洞,將成為網路犯罪者竊取資料的管道

在2011年以前行動裝置平台的威脅大多是以惡意程式的型態出現。趨勢科技預料從2012年起,網路犯罪者將鎖定正常的行動裝置應用程式,尋找可能導致資料外洩的安全漏洞,進行個資竊取的不法行為。

  • 資料外洩與資安事件:駭客團體數量將持續增加,對擁有高度敏感資料的企業是更大威脅

2011 年 ,Anonymous 和 LulzSec 等駭客團體突然竄起,專門鎖定個別企業及個人發動含有政

治意圖的攻擊行動。趨勢科技預測這類團體在 2012 年將更活躍,並透過更高的技巧滲透企業

內部,以躲避 IT 人員和執法機關偵查,達成其攻擊目的。

  • APT攻擊將加劇且愈趨頻繁,中小企業成為駭客鎖定攻擊之目標

2011年政府與大型企業遭受進階持續性威脅(Advanced Persistent Threat, APT)攻擊時有所聞,最大的威脅與挑戰在於駭客透過社交工程手法突破資安防線,藉以滲透並擴大攻擊範圍,竊取機密資訊。趨勢科技提醒APT攻擊將不斷的進化,擁有重要智慧財產權與掌握客戶個資的中小企業也與大型企業同樣面臨資訊安全危機。 繼續閱讀