零时差攻击侦测 APT防御关键第一步
- DIGITIMES企划
-
进阶持续性渗透攻击(Advanced Persistent Threat;APT),已经成为目前的网络安全与防护的焦点之一。FireEye台湾总经理马胜彰指出,由于APT的渗透非常容易,所以任何的网安防御,一定要做到很有效才有意义。
ATP渗透有多容易?马胜彰以某公司人资部门的运作为例指出,当人事部门陈经理直接打开任何收到的求职信,即使公司装有防火墙等防御措施,通常只要一打开信件中的附件,黑客高手仍可透过附件中的恶意程序,控制陈经理的电脑,被黑客高手所控制,如果信件被转寄,任何打开信件的人所使用的电脑,一样也会被控制。
值得注意的是,新型态的恶意攻击,从开始渗透到把数据带走,可能只需要几分钟,最长也只需要几天。马胜彰指出,目前每2分钟就有恶意程序的攻击正在发生,遍及206个国家,APT家族多达159个,影响产业遍及各行各业,而被攻击的国家中,日本及韩国为亚太区的前2名,平均每打开3封邮件,就会出现成功的攻击。
台湾被攻击的次数虽然名列亚太区第3大,但台湾发现的APT家族种类数量却仅次于日本,高达第2名。2013年亚太区APT相关恶意程序家族排行,依序为GhostRat、Darkcomet、Heartbeat、Bumat、LV、Kaba、Houdini、SpyNet、XtremeRat及9002。
马胜彰指出,原因在于恶意程序工具包随手可得,这些工具包不但价格便宜,甚至还有售后服务,任何稍微有点电脑基础的人,都有可能成为黑客,也因此让APT防御变得更加具有挑战性。
想要防御APT,势必得了解APT的攻击方式。马胜彰指出,APT攻击会分为多个阶段流程,第一阶段为利用程序漏洞建立PC端点后门,第二阶段建立控制连线,第三阶段下载恶意程序本体,第四阶段将数据打包外送。
第一阶段是最容易发现的阶段,之后因为所有的动作只是在拷贝复制机敏数据,而不是损毁或当机,所以并不容易察觉。
马胜彰认为,零时差攻击侦测是防御APT的关键第一步,但调查发现,只有三分之一的企业,有能力自行发现数据是否被窃取,而且利用受信任的网站进行的「水坑式攻击」愈来愈多,让许多受信任的网站,反而容易成为感染的来源,也显示各行各业必须对于未来可能面临的网安威胁,要有更多的准备。
以2013年亚太区APT攻击的行业为例,金融服务业及中央政府(包含军方)各占14%,高科技产业紧追在后,达13%,前三名加总就已经将近50%,其他容易被攻击的产业包括化工制造矿产(12%)、服务加值供应商(9%)、高等教育机构(9%)、电信公司(8%)等。
马胜彰指出,传统的网安设备,由于主要的技术是采用特徵码来比对,对抗已知的攻击是有效的,但APT攻击的特色,就是会针对攻击对象变型,而且会从各种不同的管道进行攻击,加上是采取针对性目标,所以同时攻击的APT还可能不只一种,而且以窃取为目的方式,更让以防御破坏为主的传统网安设备不易察觉。
因此,有效防范APT攻击的策略,马胜彰认为必须同时考虑三者:针对未知攻击的侦测引擎、威胁情资共享联防、企业内部网安设备整合联防。由于静态分析、特徵码的解决方案无法有效侦测,必须使用动态、不需要特徵码的行为分析技术,才能针对未知攻击进行防护。
马胜彰指出,一定要设法在黑客窃取数据得手前拦截,因此要在不同的攻击阶段(电子邮件进入、网页下载恶意程序本体、后门程序透过网络回拨、窃取数据、内部扩散)进行防堵,而且要能在在线阻挡,而不是仅有告警,才能提供完整防护。
如电子邮件防护机制要部署于防垃圾邮件后方,上网行为防护机制要能及时阻挡恶意程序下载以及后门程序回拨,数据中心则要有能力清查企业内部档案服务器的现存恶意程序,并能够进行中央控管及关联分析,以实时掌握威胁情资。
综上所述,马胜彰表示,要防御未知恶意程序攻击,要选择不需特徵码即可侦测并阻挡零时差攻击及针对性攻击的动态分析技术,唯有如此,才能做到实时防护,阻挡数据外泄。
