關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

趨勢科技 TrendMicro

2012年趨勢科技雲端安全調查:只有不到一半的伺服器虛擬化技術應用在實際環境上,只有不到三分之一使用的是私有雲或公共雲

大部分公司都正在使用或計畫使用雲端服務,但每家公司都有自己獨特的雲端之旅。這資料圖表會介紹這旅程中會用的各種平台。也讓你了解在資料中心,從實體進化成虛擬、再到雲端時該如何保護資料安全。同時也根據我們第二次年度雲端安全調查的結果,顯示各階段的採用率。 

 

作者:趨勢科技Christine Drake

今年VMworld大會主題是「Right here. Right Now」。激勵參加者一同進入新的雲端時代。當然這樣的鼓勵有很大的作用空間,因為有許多企業都還沒有遷移到雲端環境。從最近的2012年趨勢科技雲端安全調查中,以下是受訪者對於佈署到實際環境的虛擬化和雲端等基礎設施的數據:

 

  • 伺服器虛擬化            43%(另外有18%在測試)
  • 虛擬化桌面基礎架構        35%(另外有18%在測試)
  • 私有雲                        30%(另外有18%在測試)
  • 公共雲                        30%(另外有18%在測試)

 

這份調查來自全球七個國家的1400名受訪者,都是IT採購決策者或是對上述技術導入有關鍵影響力的人。不過只有不到一半的伺服器虛擬化技術應用在實際環境上,只有不到三分之一使用的是私有雲或公共雲。

 

調查結果還顯示,企業如果已經導入伺服器虛擬化到作業環境或是已經在測試,就比較可能會部署雲端技術:

 

  • 65%佈署私有雲技術到實際環境/測試
  • 62%佈署公共雲技術到實際環境/測試

 

雖然雲端技術強調的是節省成本、靈活性和可自由創新的能力,我們或許應該將重心放更多在那50%還未將資料中心虛擬化的企業,或去幫助那些想更進一步虛擬化(加入更為關鍵的系統)的企業。一但資料中心裡有了可靠的虛擬環境,企業也會願意更進一步地接受雲端運算。

 

而對於那些已經專注在虛擬化的公司而言,他們需要確保的是,目前所建立的虛擬化基礎可以在有意願時,隨時都能遷移到雲端環境上。這裡的關鍵要素之一是安全性。許多企業都是佈署傳統給實體端點的安全解決方案到虛擬環境,但是會發現這些解決方案並不足以提供足夠的防護來應付虛擬化環境的安全挑戰,而且還會產生許多新的問題,像是效能減退、資源不足等。

 

同樣的,當考慮佈署雲端技術時,安全性和效能也是最被關注的重點,它們被認為是採用雲端服務最大的風險和阻礙。

 

  • 對安全性的疑慮(關於資料或雲端基礎設施)    54%
  • 雲端服務的效能和可用性                                50%

 

當虛擬化成為雲端環境的基礎設施,對於虛擬化和雲端環境而言,能夠兼顧保護和效能的安全技術肯定會有所重疊。不過,雲端環境內還是有新的安全考量。所以當企業替虛擬化環境尋找合適的安全解決方案時,也應該向前看,確保這解決方案可以解決雲端環境內獨特的安全問題,不然就得在更深入雲端技術時找尋另一種端點安全防護產品。不過企業應該要採用可以同時應用在虛擬化和雲端環境的安全架構,可以讓使用者從同一個控制台來統一管理這兩種環境,並且讓資料中心和雲端環境中的安全策略可以保持一致。

 

與其說「right here, right now」,企業該做的是「思考未來」,因為他們會希望建立的虛擬化環境,是最終可以替他們企業支援並防護雲端運算的架構。

 

趨勢科技全球雲端安全調查
趨勢科技全球雲端安全調查

 

 

漫步在雲端 雲端之旅繼續往下一站前進

趨勢科技2012全球雲端安全調查

 

 

 

 

 

 

大部分公司都正在使用或計畫使用雲端服務,但每家公司都有自己獨特的雲端之旅。這資料圖表會介紹這旅程中會用的各種平台。也讓你了解在資料中心,從實體進化成虛擬、再到雲端時該如何保護資料安全。同時也根據我們第二次年度雲端安全調查的結果,顯示各階段的採用率。

趨勢科技2012全球雲端安全調查,決策者已經佈署或正在測試的比率 *

全部 美國 日本 義大利 德國 英國 加拿大 巴西
伺服器虛擬化 61% 71% 60% 59% 67% 63% 56% 50%
虛擬桌面架構 53% 62% 40% 52% 53% 64% 55% 47%
私有雲 48% 57% 39% 43% 54% 53% 48% 47%
公共雲 48% 52% 38% 49% 49% 53% 51% 46%

* 決策者:可以決定採購雲端運算服務、伺服器虛擬化或虛擬桌面架構解決方案的企業IT專家

 關於雲端之旅的六個好處和風險

關於雲端之旅六件事的好處和風險
關於雲端之旅六件事的好處和風險

雲端之旅

  好處=企業使用該平台的好處(非專指安全性)風險=在該平台建立安全基礎時需要加以考慮的資安風險
實體伺服器和端點 好處

  • 提供專屬運算資源
  • 支援特定硬體需求
  • 可以執行無虛擬環境許可的軟體
  • 提供高度的能見度和控制能力

 

 資安風險

  • 太多資安產品,難以管理
  • 硬體成本花費太高,會壓縮到資安預算
 解決方案

  • 對於內容安全的整體性考量
  • 整合資安解決方案可以減少73%的事件發生 註一
  • 橫跨實體、虛擬化和雲端伺服器的單一管理控制台

 

虛擬

 虛擬伺服器 好處 註二

  • 減少硬體和作業成本,多達50%
  • 減少能源消耗達80%
  • 增加現有硬體使用率,從5-15%到80%
  • 減少硬體需求到十分之一或更佳
 資安風險

  • 混合不同信任程度的虛擬機器
  • 虛擬環境內的法規遵循需求
  • 通訊盲點和虛擬機器內部攻擊
  • 使用傳統安全方案造成效能低落 – 多達90%運算週期 註三

 

 解決方案

  • 為虛擬機器所設計的整合安全方案
  • 透過單一控制台管理的多層次協同防禦
  • 整合無代理防毒、檔案完整性監控、主機入侵防禦系統等等來降低負荷量
  • 整合虛擬化管理平台

 
虛擬桌面架構在實際環境內,虛擬桌面的數量會在接著12個月從44%成長到63% 好處

  • 整合供應鏈、管理和支援
  • 將資料安全的留在資料中心 – 較少資料外洩
  • 集中化資料防護和桌面安全
  • 讓最終使用者可以自帶電腦

 

 資安風險

  • 使用為一般電腦所設計的安全防護會造成效能低落
  • 未啟動或複製虛擬桌面的安全防護未更新
  • 主機未佈署安全
  • 區隔專用和共享虛擬桌面的使用實例

 

 解決方案

  • 整合虛擬機器管理程式的無代理防毒和最佳化掃描
  • 保留整合率
  • 多層次協同防禦
  • 虛擬桌面架構平台整合

 
私有雲對採用雲端技術最大的疑慮是安全(54%)和效能/可用率(50%) 好處

  • 可以根據需求快速佈署/擴充的服務
  • 節省成本,同時獲得更高的資源使用量
  • 讓服務使用可以分帳到各個業務單位
  • 更佳的控制、客製化和安全

 

 資安風險

  • 減少邊界控制
  • 對於快速的資源存取有管理控制的問題
  • 隨著存取量的增加,帶來較高的資料外洩風險
  • 資料移動和遺存資料的問題

 

 解決方案

  • 自我防禦的虛擬機器安全
  • 多層次協同防禦
  • 資料防護和加密
  • 可見性、報表和稽核

 
調查中有在實際環境使用伺服器虛擬化或進行測試的人中,65%也佈署了私有雲或正在進行測試

雲端

 混合雲混合雲佈署數量(22%)和私有雲(22%)及公共雲(21%)相當 好處

  • 透過沒有界線的資源來結合實地控制
  • 對於臨時性的專案較經濟的資源擴展
  • 增加佈署的速度
  • 讓靈活度和機會增加

 

 資安風險

  • 最大可被攻擊的範圍
  • 對於識別和存取的管理疑慮
  • 將資料移到公共雲時的資料隱私問題

 

 解決方案

  • 自我防禦的虛擬機器安全
  • 多層次協同防禦
  • 資料防護和加密
  • 根據業務進行安全控管
  • 可見性、報表和稽核

 
公共雲在實際使用公共雲和混合雲的環境,在接下來12月內,雲端應用程式會從46%成長到53% 好處

  • 利用可調整的運算能力來實現可擴充性
  • 按使用計費模式可節省成本
  • 將資本支出(CAPEX)轉成營運支出(OPEX)
  • 透過雲端服務營運商提供健全的基礎架構

 

 資安風險

  • 共享的多租戶環境
  • 資料移動和遺存資料的問題
  • 未知的資料存取和未加密的資料
  • 有限的可見度和控制能力

 

 解決方案

  • 自我防禦的虛擬機器安全
  • 多層次協同防禦
  • 資料防護和加密
  • 根據業務進行安全控管
  • 可見性、報表和稽核

 
  • 調查中有在實際環境使用伺服器虛擬化或進行測試的人中,62%也佈署了公用雲或正在進行測試
  • 89%聲稱會將雲端中的資料加密

 

繼續閱讀

IE, Chrome, Firefox三巨頭,漏洞數量比一比

趨勢科技 TrendMicro

最近Microsoft Internet Explorer 出現了零時差漏洞,一股排山倒海建議大家改用其他瀏覽器的聲浪又出現了。

單就漏洞數量來看Microsoft Internet Explorer ,Google Chrome, Mozilla Firefox這「三巨頭」領先的其實不是 IE,而是Google Chrome。

過去五年來,Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢。

趨勢科技資安專家Rik Ferguson 在以下的文章中表示:”每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇,針對不同的安全工具和技巧,您需要對瀏覽器、技術或威脅特性有不同程度的熟悉,才能有效保護自己,又不會讓您無法順利上網。” 

Internet Explorer:寧願選擇您熟悉的惡魔?(Better the Devil You Know?)

作者:趨勢科技資安專家Rik Ferguson

影像來源:Steve Dinn

過去幾天,有關哪個瀏覽器最安全的爭論又再度興起,主要原因是最近Microsoft Internet Explorer 出現了零時差漏洞。由於此漏洞影響廣泛,因而造成一股排山倒海的善意聲浪建議大家改用其他瀏覽器。資訊安全專家企業執行長甚至是德國政府(又再一次) 不斷提出這樣的呼籲,但問題是,這樣的作法有多實際?更重要的是,有多大幫助?

資訊安全不是針對別事件立刻本能反應就能解決,資訊安全需建立在一套能降低長期暴險及風險的策略。這套策略還應避免純粹為了改變而改變,因為,採用新技術所帶來的不熟悉,反而可能引來人為的漏洞。

目前最熱門的 Internet Explorer 替代方案 (以及目前最受推崇的) 是 Google Chrome 和 Mozilla Firefox,但兩者並非全無漏洞或零時差漏洞。事實上,如果攤開眼前的一些證據,我們甚至可以說 Internet Explorer 反而是所有瀏覽器當中問題最不嚴重的。
2011 年,Google Chrome 的新漏洞通報數量創下新的紀錄,達到 275 個,是該瀏覽器問世以來漏洞數量整體上揚趨勢當中的最高點。Mozilla Firefox 目前雖然已從其 2009 年的最高點開始下降,仍然有 97 個已通報漏洞。過去五年來,Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢,而且在 2011 年只出現 45 個新的漏洞,比其他任何瀏覽器都低 (除了 Apple 的 Safari 同樣為 45 個之外)。當然,單就漏洞數量來看並無太大意義,除非我們將嚴重性也考慮進去,但即使這樣,就「三巨頭」的數據來看仍舊是 Internet Explorer 佔優勢。若再將零時差漏洞也考慮進去,那麼,情勢也沒有太大差異:Google Chrome 有 6 個、Microsoft Internet Explorer 有 6 個,而 Mozilla Firefox 則是 4 個。

不過,很單純的一項事實是,我們太過關注於零時差漏洞 (例如這次的例子),光是聽到「零時差漏洞」這個名字,就連一些不甚了解其涵意的人也會膽顫心驚。企業總是很難讓所有瀏覽器都更新到最新的版本 (就連個人使用者亦不例外),更何況可修補的漏洞數量遠超過偶爾出現的零時差漏洞。不管情況如何,現在的攻擊已開始越來越針對一些跨平台瀏覽器通用的外掛程式,而非瀏覽器本身,如:QuickTime、Flash 或 Acrobat。不然就是單純針對瀏覽器的使用者而設計 (如網路釣魚(Phishing)、假冒知名網站或其他社交工程陷阱( Social Engineering)攻擊手法)。

面對現實吧,您的瀏覽器本來就無法保障您的安全,不論是誰開發的都一樣。您必須採取一些步驟來自我防衛,不論您使用何種瀏覽器。

每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇,針對不同的安全工具和技巧,您需要對瀏覽器、技術或威脅特性有不同程度的熟悉,才能有效保護自己,又不會讓您無法順利上網。

針對絕大多數的情況,我們最好的建議是繼續使用您最熟悉的瀏覽器,但請採取一些安全措施。若您冒然改用其他您不熟悉的瀏覽器,反而可能因為不熟悉而讓您比之前更不安全。

資訊安全軟體終究是個人電腦必備的工具,就像安全帶之於汽車一樣,而且,不論廠商是否已釋出修補程式,這些工具都能提供您更好的漏洞與攻擊防護。如果您想進一步了解背後的原因,這份報告是一個不錯的入門指南。

起身對抗 IE 或許很酷,但是好東西總是會「歷久彌新」。

 相關文章:

  1. 哪一家的瀏覽器最安全,這是個問題嗎? (Which browser is the most secure, is that the question?)
  2. 耶誕快樂!享受新的零時差攻擊吧! (Merry Christmas and a Happy New 0-Day)
  3. 將 Java 而非 Bob’s Java Jive (JavaScript) 停用 (Disable Java not Bob’s Java Jive (or JavaScript))
  4. 網際網路安全日 Twitter 垃圾訊息 (Safer Internet Day Twitter Spam)
  5. Google、中國、四眼天雞與網路對決。(Google, China, Chicken Little and Cyber Armageddon.)

◎原文來源
Internet Explorer:寧願選擇您熟悉的惡魔?(Better the Devil You Know?)

 

◎延伸閱讀

 IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan 


APT 攻擊

 

◎ 歡迎加入趨勢科技社群網站

 

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

趨勢科技 TrendMicro

我們現在面臨著一個不斷演變的資安威脅環境。從一開始為了用來吹噓而攻擊或是用阻斷式攻擊( DoS )來切斷流行網站的服務,到現在是為了經濟利益而攻擊。攻擊者透過詐騙或竊取知識產權直接獲取利益,或進行大規模資料竊取等等。除了攻擊的動機與目的的轉變外,攻擊手法也有所改變。在這樣的環境中,最大的挑戰就是APT進階持續性威脅 (Advanced Persistent Threat, APT)

APT — Advanced Persistent Threat ,一般稱為進階持續性威脅,是針對特定組織進行複雜且多方位的攻擊。APT 不似從前的一般惡意程式攻擊:缺乏嚴格掌控;不限定目標地亂槍打鳥。APT 會花費較長的時間規劃、執行:偵查、蒐集資料;發掘目標的安全漏洞或弱點。

近兩年來遭受 APT 攻擊的著名案例:

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

Googleaurora
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。 

· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。 

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。
Rsa01
RSA APT 事件中的網路釣魚(Phishing)
繼續閱讀

IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

趨勢科技 TrendMicro
 
 
請密切注意攻擊IE漏洞的零時差病毒HTML_EXPDROP.IISWF_DROPPR.II近期披露了一個IE零時差漏洞(0-day exploit),該漏洞影響Internet Explorer 7、Internet Explorer 8、Internet Explorer 9。利用此漏洞的病毒已被趨勢科技產品偵測為HTML_EXPDROP.II及SWF_DROPPR.II。據調查,在與此病毒有關的部分惡意伺服器上,發現有早先公佈的針對Java零時差漏洞的攻擊代碼。截至目前為止,微軟尚未針對該漏洞發佈修補更新檔。

病毒名稱:HTML_EXPDROP.II

其它相關的偵測名稱:SWF_DROPPR.II、BKDR_POISON.BNM、BKDR_PLUGX.BNM

 

惡意行為:

趨勢科技產品將此病毒偵測命名為HTML_EXPDROP.II,此病毒利用IE7、IE8、IE9的零時差漏洞進行攻擊。該病毒執行後會產生一個惡意Flash檔:MOH2010.SWF (此檔已被趨勢科技產品偵測為SWF_DROPPR.II)。之後,惡意Flash檔將會產生另一個後門程式,趨勢科技產品可偵測該惡意程式及其變種為BKDR_POISON.BNM、BKDR_PLUGX.BNM。

 

感染細節:

當使用者瀏覽病毒所在的惡意網站時會受到感染。

病毒會查看使用者瀏覽器的版本,它的攻擊目標是IE7、IE8、IE9。

 

關於該病毒的其他一些行為細節請參考以下網頁:

https://about-threats.trendmicro.com/us/malware/html_expdrop.ii

https://about-threats.trendmicro.com/us/malware/swf_droppr.ii

 

 

防護措施:

請修改IE瀏覽器安全性設定:

工具à網際網路選項à“安全性”頁籤à選擇“網際網路”à按下“自訂等級”à“指令碼處理”部分下的“Active scripting”,選取“提示”並按下“確定”。

IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

 

IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

 IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

 

處理措施:

請更新趨勢科技產品病毒碼至9.403.00以上,即可偵測防禦目前發現的該病毒所有相關元件。

若您是DeepSecurity或IDF用戶,請立即更新Security Update: VSU12-026並啟用Rule 1005194,以針對此弱點進行防護。

手動刪除方法請參考:

https://about-threats.trendmicro.com/us/malware/html_expdrop.ii

https://about-threats.trendmicro.com/us/malware/swf_droppr.ii

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎ 歡迎加入趨勢科技社群網站

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

趨勢科技 TrendMicro

APT進階持續性威脅 (Advanced Persistent Threat, APT) 主要是針對特定組織所做的複雜且多方位的網路攻擊.

過去所發生過的大規模病毒攻擊事件,往往是有人藉由所謂的0-day弱點,在未發布修正程式的空窗期將惡意程式大量散播,短時間內就能癱瘓企業網路與主機,並造成難以估計的損失.不過一旦發布了修補程式後,這類型的病毒便很難繼續進行攻擊.

為什麼我們要特別注意APT進階持續性威脅 (Advanced Persistent Threat, APT)?因為所謂的APT進階持續性威脅 (Advanced Persistent Threat, APT)並不像上述說的病毒類型是短時間的大量攻擊,這類型的病毒往往長時間的潛伏在企業內部,先從蒐集情報開始,找尋適合攻擊的目標或跳板,最後再藉由這些目標對內部重要的主機發動攻擊.

根據統計,APT進階持續性威脅 (Advanced Persistent Threat, APT)主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言亞洲是遭受APT攻擊最主要的地區.

以下是近年來知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)事件

  • 2010年7月Stuxnet USB蠕蟲病毒攻擊西門子系統
  • 2010年1月極光行動(Operation Aurora)攻擊Google Mail
  • 2011年5月Comodo的數位簽章被竊
  • 2011年4月Sony PSN個資外洩

相關圖闢請看文末 註:近兩年來遭受 APT 攻擊的著名案例:

由基本面來看,符合下列三項特點,我們就認為這攻擊是APT進階持續性威脅 (Advanced Persistent Threat, APT)

  • 出於經濟利益或競爭優勢
  • 一個長期持續的攻擊
  • 針對一個特定的公司,組織或平台

所以企業與政府通常是APT進階持續性威脅 (Advanced Persistent Threat, APT)的目標,要注意APT進階持續性威脅 (Advanced Persistent Threat, APT)是長期且多階段的攻擊,早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,可能透過SQL Injection攻擊突破外網Web伺服器主機,接著,受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

APT進階持續性威脅 (Advanced Persistent Threat, APT)的主要行為:目標式攻擊郵件

APT進階持續性威脅 (Advanced Persistent Threat, APT)的活動中,最主要的就是透過郵件進行滲透式的攻擊,主要有三種類型

  • 釣魚郵件:竊取使用者的帳號與密碼
  • 惡意的指令碼:蒐集使用者電腦的環境資訊
  • 安裝惡意程式(例如Botnet或rootkit)

APT進階持續性威脅 (Advanced Persistent Threat, APT)的攻擊郵件通常是以文件類型的檔案作為附件,例如Microsoft Office文件或是PDF檔,與一般認知的病毒郵件有著極大的差異,這類型的APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,以下便是APT進階持續性威脅 (Advanced Persistent Threat, APT)郵件的樣本:

Aptmail-2

Aptmail-3

APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒軟體可能可以阻止APT攻擊所使用的惡意程式,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。

從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。 我們應該繼續部署攔截對策。防毒軟體,加密,弱點掃描和上修正程式(Patch)都是很好的做法。但是這些還不足以去應付APT,所以我們應該假設會被攻擊成功。在會被攻擊成功的前提下,我們必須即時的監控網路流量和電腦上的活動,包括隔離被入侵的設備,關閉伺服器和收集資料以作鑑識分析之用。 萬一攻擊發生了,能夠儘快偵測到攻擊和遏制它所造成的影響才是最主要的目的。

註:近兩年來遭受 APT 攻擊的著名案例:

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

Googleaurora
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。

· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。�
Rsa01
RSA APT 事件中的網路釣魚(Phishing)

· 2011 年 4 月 — 洛克希德馬丁:
在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。

· 2011 年 4 月 – Sony:
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,
另有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。
到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。

以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式

[圖表] APT攻擊的 5 個迷思與挑戰

 惡意PowerPoint文件夾帶漏洞攻擊及後門程式

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎?

一週十大熱門文章排行榜:<影音> 防毒小學堂: 躲在社交網路/社群網路後面的威脅 Social Media Threats

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

◎ 歡迎加入趨勢科技社群網站