端点安全迎战APT式攻击之黄金战略法则
- DIGITIMES企划
-
2013年企业网安关键字,防护专家绝对无异议通过「APT式攻击」是现今攻击的趋势。F-Secure亚洲区病毒威胁实验室信息安全技术顾问吴树谦应翔伟网安科技之邀来台,在演讲的过程中以台湾常见病毒、网安漏洞与如何避免遭受恶意软件攻击、并列出台湾各城市遭受攻击名次等议题,做详细的介绍,由此可知台湾目前遭受恶意软件侵害的严重,吴树谦也以实验室的角度提供建议强调防骇应该从个人做起,不应只有企业重视,才不会造成企业与个人财务上或信用上的伤害。
吴树谦表示,当今的黑客是以商业或政治目的的网络犯罪,经年累月蛰伏观察,等待致命一击,一旦入侵取得目标数据后,不会就此缩手会持续渗透取得更多机密数据,因此必须知道黑客惯用的APT(A:进阶、P:持续性、T:威胁)突袭手法,以达到知己知彼避免无谓的损失,黑客手法不外乎是:经由网络恶意程序感染(下载驱动程序?E-mail附件?档案共享?非授权软件?钓鱼?DNS中毒)、经由实体物件感染(USB?CD ROM?DVD?记忆卡)和外部攻击(专业入侵?漏洞攻击)等。
根据芬安全监测到实际在台湾发生过的E-mail钓鱼案例中,发现有许多恶意软件,伪装你的好朋友转寄?分享信件,信件内容为某重要计划或热门话题(例如:最新消息:消失的马航班机找到了!),信件中提供连结网址引诱收信者下载并进行解压缩,当下无任何异状,但恶意程序却默默地建立许多档案、修改系统登录档、与黑客网站连线,黑客可利用该恶意程序进行帐密侧录、数据盗用、诈骗…等,用户小则金钱损失、大则成为黑客帮凶进行网络攻击。
2014台湾网安大事
由于两岸局势紧张,台湾成为黑客锁定的攻击目标,且排名全球遭受攻击次数前四名;吴树谦强调,芬安全实验室除了对全球进行病毒监测外,对于台湾各地病毒攻击情况,皆有完整掌握,以台湾现今最活跃的病毒为Downadup?Conflicker,其最令人匪夷所思的是该病毒早在2008年就被发现,且微软和许多防毒软件早已都防堵起来,但在台湾仍名列第一。
第二名风暴蠕虫(Trojan Peed)会感染各种执行档(.exe),恶意程序也会自我打包寄给使用者电脑内通讯录名单,吴树谦表示,更严重的后遗症是台湾因此沦为殭屍网络王国第二名,因为风暴蠕虫会在使用者电脑中开启后门,让受感染的电脑成为黑客控制的殭屍电脑。
第三名的MicroFake,是伪装成防毒软件,除了无法提供任何的网安防御外,甚至会侧录用户个人数据。至于第四名的Sality则早在2003年就有,一样经由殭屍网络,发送垃圾邮件、DDoS攻击、Proxy Communication、安装Rootkit等行为。
吴树谦强调依据城市来排名,台湾最常受到电脑病毒攻击前五名依序为台北(71.7%)、台中(6.6%)、桃园(6.5%)、新竹(5.1%)、高雄(4.4%),台北因为拥有最多的中小企业与消费者,因此感染机率最高,而台中与新竹最常见的则是以针对性攻击居多。
分析这些古董病毒之所以能横行台湾,其最大的原因莫过于台湾仍有大量电脑使用Windows XP以下的操作系统,且未随时进行漏洞更新,通常是因为使用非官方正式授权XP系统或应用程序限制导致OS无法升级,而遭受病毒与黑客攻击。
当微软从2014年4月8日起停止支持Windows XP,潜在危险与日俱增。企业唯有倚靠具有行为式分析技术的端点安全软件,才能在Windows XP难以立即升级须沿用的状况下化险为夷。
此外在移动设备部分,许多热门App也被黑客锁定,推出内含恶意程序的山寨版App,诱使用户下载安装,安装后用户一举一动都受黑客监控,除了你的行踪外泄,甚至会盗卖你的机敏数据,或利用移动设备进行比特币挖掘,所以在下载App时除了从官方管道下载外,在安装前务必注意应用程序所需权限,有时陷阱就在应用程序权限内,唯有做好移动安全管理工作,不仅是保障自己的信息安全,同时也能够避免因为自己的疏失导致朋友受骇。
防不胜防 强化网安观念更重要
由于系统漏洞与外挂所造成的威胁,有可能很久后才被发现,如2014年4月底微软IE 6?11版本爆出严重Bug,可能造成存储器毁损并让黑客有机可乘,成功利用该漏洞的黑客可自线上执行任意程序,造成继Heartbleed后第二波的网安恐慌。
芬安全提供企业具有6道引擎的网安防护,并由实验室提供实时在线防毒云端数据库之更新,无时无刻不断新增最新病毒特徵;但单靠病毒特徵比对已无法阻拦新型态未知病毒,因此芬安全以第6层防护「DeepGuard深蓝技术」严守把关,针对应用程序的行为模式侦测,为用户阻挡未知型态的新式病毒。
吴树谦提醒台湾企业,在古董电脑病毒的威胁下,必须要2至3年以上才能排除。以外,亦需防范其它新型态的威胁,例如Adobe Flash、Reader和Java(Plugin)漏洞,吴树谦亦从实验室的角度,为企业提出7点自保之道,帮助企业守护网安。
1. 多重防护手法:除了有基础防毒防骇,芬安全在端点安全防护除了具备「ORSP信誉评等」外,并以「DeepGuard深蓝技术」藉由行为式模式侦测,帮助用户拦阻未知新型病毒。
2. 外围进行防御:例如在邮件服务器设置E-mail Gateway增加安全检查;防火墙、主机入侵防御系统(HIPS)。
3. 慎选企业端点软件:选择具有优秀行为式分析以及强而有力的数据库数据分析之安全软件,而不是选择拥有多功能型的系统工具。
4. 随时保持漏洞修补更新,别再让古董病毒肆虐。
5. 不断的监测网络异常行为:定下规范,定时监测比对不正常状态。
6. 强化使用者权限;存取重要服务器时,应明确规范每个使用者行为不该滥权。
7. 渐进式网安软硬件升级:渐进式的淘汰老旧设备与系统,确保软件的安全性降低古董病毒受骇风险。
若对某网址或程序有疑虑,亦可上传至芬安全实验室进行分析,以防范于未然;上传网址:https://analysis.f-secure.com/portal/login.html。
