假使企業發現遭受APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),如何因應?不久前恰好有一份相關的統計報告出爐,歸納最常見處理方式不外下面三種,第一種是「強化傳統資安解決方案」,就現有防護工具進行全面補強;其次是將受害電腦予以Format,也就是「毀屍滅跡」;甚至有人索性「放任不管」,因缺乏專業知識,不知如何下手,只好置之不理。
綜觀上述三種方式,除了「放任不管」明顯不值得鼓勵外,另兩種做法亦存在盲點。首先,APT攻擊與一般威脅的最大不同之處,在於它是針對特定目標量身訂做的攻擊,傳統方案無法偵測其蹤影,所以「強化傳統資安解決方案」效用不大。其次,APT攻擊通常依循著攻擊、控制、擴散等步驟,企業必須瞭解其發展至哪一個階段,方知已造成或潛在的傷害有多大,才有助於對症下藥,如今好不容易有線索可還原事件原貌,卻急於「毀屍滅跡」,殊為可惜,因為那些被Format的標的,可能只是冰山一角,恐存在更多漏網之魚。
持平而論,APT是持續性的滲透攻擊,完整的防禦機制理應包含工具、流程,以及APT攻擊專家介入協助,三者缺一不可。也就是說,企業在部署偵測、分析、欄截、鑑識等APT專用解決方案之餘,另須搭配事件反應處理流程IR Process(Incident Response Process),輔以APT攻擊專家針對攻擊型態深入剖析,才足以洞察事件全貌。一方面將分析結果回饋到防禦機制,持續發揮偵查之效,遏止新的攻擊入侵,另一方面產製真正有效的解藥,針對潛伏在企業的APT暗樁,進行大規模清除。 繼續閱讀