APT攻击频传 定制化防御策略日渐重要

趋势科技资深技术顾问 黄源庆

进阶持续性渗透攻击(Advanced Persistent Threat；APT)近年来事件频传，已经引起各界高度重视，值得注意的是，黑客的攻击对象已经开始从过去以政府单位为主，转而开始攻击企业。趋势科技资深技术顾问黄源庆指出，最近已经有不少企业遭遇目标攻击或网络诈骗，损失金额从几千美元到几十万美元之间，受害企业不但遍及各种产业，更重要的是，即使是中小企业也难以幸免。

黄源庆指出，黑客的能力与技术与日俱进，即使是技职体系，都可能出现相当厉害的黑客。中小企业缺乏信息人员，许多信息系统也都委外处理，遭遇APT时往往会不知所措，因此平日就得小心在意，学习如何面对各种网安威胁。

一般而言，政府单位比较容易碰到网络军队，企业则是比较容易碰到商业间谍黑客或黑客组织。黄源庆指出，商业间谍黑客的犯案手法，针对锁定对象多半都有固定模式，如针对金融单位，主要是设法取得客户数据，再透过盗刷等手法取得不法利益。

商业黑客攻击事件，可说是遍及海内外。如韩国320事件，就有韩国多家媒体与金融业约48,000台电脑与服务器受到APT攻击，影响所及，不仅银行、媒体的业务运行中断，受感染机器上的数据也无法回复，损失难以估计。

而随着愈来愈多的企业导入BYOD(Bring Your Own Device)，这些手持智能装置，也已经成为APT攻击非常喜欢锁定的对象。黄源庆表示，APT攻击的形式其实非常多样，可以透过各种工具达成，BYOD因为使用范围非常大，很容易形成网安漏洞，让黑客有机可乘，也就成为商业黑客锁定的对象。

如很多人拿到手机或平板后，喜欢执行的Root或JB，就可能造成网安漏洞。黄源庆指出，不管是Root或JB都需要修改工具，这些工具其实都是利用类似黑客的手法，让使用者取得使用权限，但由于并非所有修改工具都是安全的，如果使用者自行安装，等于是自己将相关威胁直接放到自己的装置上，如同自废武功，引狼入室。

但就算企业或个人积极管理，不会在移动设备上安装来源不明的软件，也不代表就可高枕无忧。黄源庆指出，甚至有黑客会利用伪造的Google Play网站，让使用者不知不觉安装黑客软件，可见针对BYOD的网安威胁，可说是层出不穷。

此外，趋势科技在今年四月发现，国内有黑客组织假冒健保局发送信件给中小企业的负责人、人资或财务部门，相关人员不察，就会点选信件连结，打开Word档案，电脑就因此中毒了，也导致超过一万多笔中小企业个资外泄。

但台湾虽然早在十几年前就遭遇黑客攻击，APT攻击最近更是盛况空前，但黄源庆指出，台湾各界不管是政府或企业，作为都不够，防御能力都不够强。如夹带附件的社交工程电子邮件，是APT最主要的攻击方式，比例超过90%以上，而且发信单位常常会冒充政府单位或信息部门，用户可说是防不胜防。

为了对抗APT，黄源庆建议企业要建立APT防御概念，如提高社交防御的门槛，加强威胁事件的侦测与感知，强化监识的回应与清除，监识成果还可作为社交防御门槛进一步的设计参考。

如针对恶意社交邮件，必须先进行侦测及拦阻，再实时分析恶意程序，并找出可利用信息，用来侦测网络可疑行为，找出受害电脑，并阻断恶意的连线行为，最后清除利用其他方式进入或早已存在的恶意程序，以建立APT纵深防御策略架构。

综上所述，黑客的攻击模式，可说是变化万千，企业如果只是被动的防御，挡得了一时，挡不了一世。黄源庆认为，企业一旦碰到APT，其实应该寻求网安事件调查(Incident Response：IR)团队的协助，找出导致网安事件发生的相关信息，如发生什麽事情、造成什麽影响损害、受害范围及黑客的行为模式，甚至进一步分析攻击的时间长短、来源及如何扩散等信息，并做好网安健诊，包括主机、网络封包及网络架构安全性的检视，才能有效防止APT造成企业网安事故的发生。