电信结合网安业者 为企业搭起APT防御捷径

透过中华电信的APT防护服务，企业仅需历经5步骤，便可快速阻断APT攻势。来源：中华电信

进阶持续性渗透攻击(APT)现已跃为最热门的网安议题，其之所以可怕，在于攻击手法有别于以往黑客单打独斗模式，乃是透过缜密的计划及潜伏渗透式的攻击活动，进而渗透重要主机取得进一步的信息，受骇者直至机敏数据遭窃，都还浑然不觉。

探究APT一词，最早是出现于美国政府官方解密的报告当中，意指一群具有规模、且有组织的黑客团队，所造成的网络安全威胁。

这群有组织的黑客，藉由电子邮件、网页等企业无法封闭的管道，入侵企业主机并长期潜伏在企业网络中，运用各式各样难以捉摸的攻击手法，致令企业的宝贵数码资产，一点一滴遭受破坏。综观这些攻击手段，包括了将恶意连结或零时差漏洞，潜藏在企业经常往来使用的Office、PDF等文件类型中；发展定制化攻击工具，巧妙逃避防毒软件侦测；或是结合社交工程，在电子邮件植入恶意程序。

综观APT攻击过程，通常是由黑客锁定特定目标，接着蒐集该组织的人员及系统信息，长时间地渗透入侵，伺机窃取企业机密数据；而最令人胆战心惊的是，许多企业自始至终，都完全不知其已遭受黑客攻击。

黑暗首尔事件  凸显APT之可怕

自2013年开始，陆续传出许多知名企业、甚至是国家政府单位，遭受APT攻击，其中最令人为之震惊的事件，无疑就是2013年3月20日爆发的「黑暗首尔」(DarkSeoul)，其为韩国史上最大规模的黑客攻击！在这黑暗的一天，有多家银行、保险公司及电视台遭骇，其中新韩银行甚至透过官网公告服务中断信息，并向广大用户致歉。

总结来说，黑暗首尔事件，造成了多达32,000台电脑主机遭骇停摆，共计有3家银行、2家保险公司受骇，酿成网络银行当机、ATM停止运作等惨剧，此外还有3家电视台遭殃，共计有逾千台员工电脑的硬盘毁损，致使内部作业随之延宕甚或停顿；更严重的，1家电信公司成为此事件的最大苦主，被迫关闭对外网络服务，后续足足整整耗费一周时间才告复原。

业者分析，台湾企业看待黑暗首尔事件，反应出忧喜参半情结，忧虑者认为，台湾处境与韩国类似，长期遭到特定网军部队锁定，但台湾企业或机关的网安防护实力，不见得优于韩国，倘若遭遇类似攻击，灾情只怕更为惨烈；但也不乏乐观者认为，如果以国与国相处关系而论，台湾所面对的形势，无疑比韩国和缓许多，因此出现这种国家层级重大APT事件的机会，其实不会很高。

而在事发过后，韩国政府提出相关调查报告，指称朝鲜至少为此事策划长达8个月，成功潜入韩国金融机构多达1,500次，意在部署恶意攻击程序，而此次攻击路径涵盖了韩国25地点、海外24地点，诸多地点与朝鲜过往发动攻击所用之位址相同；此外，黑客植入的恶意程序共计76项，惟大多是负责监控与入侵任务，真正具有严重杀伤力，则是其中的9项。

上述结论，看在网安意识相对不足的人士眼里，顿时松了一口大气，只因为如此险峻的攻击事件，看来唯有政府级别的网军可以办到，除此之外，技艺如此高超、手段如此残酷的黑客，其实并没有那麽多，无需自己吓自己。

黑客工具助阵  发动APT攻击非难事

然而真实情况，并非如此让人安枕无忧。2014年的5月，美国联邦调查局FBI开始大举扫荡「黑影」(BlackShades)黑客集团，因为此一集团长期利用地下论坛贩售恶意软件，而且索价不算高，所以即使是技术水平一般的人，只要付出40~100美元，便可取得BlackShades这套网络犯罪工具，继而摇身一变成为APT黑客，线上控制特定目标对象的电脑，并入侵受骇者的电子邮件、Web或实时通讯。

经由BlackShades案例，其实隐含了一个很可怕的事实，今时今日，有心人士意欲取得黑客工具，实在太容易，可以轻轻松松展开网络犯罪，因此任何企业机构皆应抱持忧患意识，认定「APT黑客就在你我身边」，并做好长期抗战的准备。

由于APT攻击结合了许多常见的攻击手法，譬如社交工程、零时差漏洞等，同时又具有潜伏性的特质，不会在第一时间影响客户业务运作，让伤害往往像滚雪球般一发不可收拾；但持平而论，企业若仅想凭藉当前市面上的网安防护软硬件，意图防范APT攻击，难度相当之高。

中华电偕同安全厂商  祭出APT防护服务

要想找到足以强力对抗APT攻击的工具，竟是如此不易；就算有，往往也需耗费可观金钱购得授权，并动员一干好手来实施导入，甚至需要专业顾问随侍在侧，负责解析工具所产生的Log，以研判当下是否有APT入侵，并研拟相对应解决之道。看到这里，想必不少用户为之气馁神伤，难道资源不足、技能不足的企业机构，遇到APT也只能认了？果真没有使用操作门槛低、且深具成本效益的防护方案？

有监于多数客户频频寻觅最有效的APT攻击防护解决方案，中华电信遂决定以自身的云端运算技术及网络优势资源为基底，继而与知名APT防护厂商合作，携手推出「进阶持续性渗透攻击防护服务」，以期协助企业防御APT攻击，顺势卸下缠绕已久的隐患。

探究此一服务，系于ISP机房端架设APT防护分析管理平台，并于客户端安装侦测装置，藉以侦测客户流量之中，是否有APT的异常行为与邮件中的恶意档案，再将侦测结果回传至后端平台，进行巨量数据(Big Data)运算分析，据以快速有效找出潜藏的APT攻击。一经证实客户确已遭受APT攻击，中华电信即会将结果通知用户端侦测装置，阻止客户再度连线到有害网站，删除邮件中的有害内容，同时利用电子邮件或简讯进行通知，让客户知道自己已遭入侵，借此避免机敏数据失窃。

APT攻击经常利用社交工程手法进行入侵，譬如寄送具有诱因的电子邮件，诱惑员工点击来植入攻击程序、架设恶意网站引诱员工浏览而中毒等，因此要防范APT攻击，企业除需架设网安防护设备外，更需避免员工因好奇误点网站连结或开启恶意邮件而遭植入恶意程序。为此，中华电信提供多种网安加值服务，一并协助客户强化APT防护。

综观一系列网安服务，首先即是「电子邮件社交工程演练服务」，其可模拟黑客的社交工程攻击行为，将测试邮件寄送给企业员工进行测试，并统计员工点击的频率，以提供业主参考，并配合教育训练来强化企业员工对恶意邮件的警觉性，进而降低员工受骇机率。

其次是「企业上网内容过滤服务」，于ISP机房端阻绝企业员工浏览有害的恶意或钓鱼网站，并可限制员工使用点对点传输(P2P)、通讯软件等，以降低遭受攻击的风险。

最后则是「HiNet动态口令锁(OTP)」，可提供员工帐号双因子认证机制，除了企业内的帐号口令认证机制外，辅以一次性有效的动态口令，以利于提升身份认证安全强度，即便使用者帐号及口令被窃，黑客也无法轻易取得系统内部数据。