提高忧患意识 方能降低APT得逞机率

全美第二大零售业者Target惨遭APT攻击，综观整个事件始末，蕴含诸多发人深省的教材。来源：Thsaerie.org

放眼全球，台湾的处境堪称奥妙，几乎可谓举世最为特殊的进阶持续性渗透攻击(APT)战场，早在世人尚未听闻APT名词的2002年，便频频遭受此类攻击，迄今甚至成为特定网军的练兵场。显见台湾企业机构面临严峻考验，必须严阵以待。

时序进入2014年，有几件令人怵目惊心的网安事件，不禁凸显APT攻击之可怕。

第一桩大事，其实发生在2013年底，但其惊悚程度，至今依然让人印象深刻，也屡屡成为各个信息安全研讨会的经典教材。全美第二大零售业者Target，惊爆美国史上最大宗数据外泄事故，超过1.1亿笔客户数据惨遭黑客盗取，影响所及，其因而偿付予客户高达数百万美元，此一巨大损失也导致股价应声大跌，商誉随之受损，被迫关掉至少8间店面，其前董事长兼CEOGregg Steinhafel，亦因此下台一鞠躬。

近几年间，随着巨量数据(Big Data)话题火热，Target靠着精准分析，缔造了「比父亲更早知道女儿怀孕」的传奇故事，一时之间被广为流传，甚至喻为Big Data应用典范，原本让人深觉此企业极具前瞻视野，营运前景不容看淡，惟如今过往事蹟已鲜少为人称颂，取而代之的，竟是网安防护不力、罔顾顾客权益的丑陋形象，着实教人不胜唏嘘。

另一桩事件，苦主的知名度未若Target响亮，但案件的惊悚程度，却是有过之而无不及！一家名为Code Spaces的程序码代管网站，在2014年6月遭受了黑客精心筹划的大规模分散式阻断服务(DDoS)攻击，此一攻击型态，相较于诸多「神不知、鬼不觉」的APT，看来不那麽难缠，理应可以应付无虞，殊不知此事只是前菜，早已锁定Code Spaces的黑客，居然在同一时间，还取得了该公司在亚马逊AWS EC2云端运算服务控制台的存取凭证。

Code Spaces一夕垮台  震撼网安业界

自认胜券在握的黑客，于是狮子大开口，向Code Spaces提出钜额勒索；此时Code Spaces仍想负隅顽抗，遂尝试以变更EC2口令的方式，意图粉碎黑客的阴谋。然而经过双方12小时的激战，证实黑客确实技高一筹，凭藉着已经得手的存取凭证，决定给予对方致命一击，大刀一挥，举凡AWS EBS快照、AWS S3的储存内容、Amazon虚拟机的镜像档，全遭彻底删除，终至灰飞烟灭，甚至连异地备份也几乎消除殆尽。

事已至此，Code Spaces苦心建立的事业基盘，可谓一夕瓦解，营运活动几至无以为继，写下了因黑客攻击而吹起熄灯号的首例。

其实恶意攻击事件斑斑可考，绝不仅止于上述两例，包括2013年Adobe遭黑客攻击，导致290万名客户数据及部分产品程序码被窃；2013年纽约时报遭黑客盗取重要数据与公司口令；2012年中东国家因感染Flame病毒，导致机密数据遭黑客蒐集并逐步外流；2011年伊朗、苏丹、叙利亚及古巴遭受Duqu攻击，以致数码凭证遭窃；2011年网安公司RSA竟被黑客入侵得逞，造成SecurID失窃，而黑客于隔月就凭着得手的SecurID金钥，成功潜入军火制造商洛克希德马丁(Lockheed Martin)网络，恣意窃取机密数据。

在这些事件之前，2010年时伊朗曾遭受Stuxnet蠕虫攻击，以致核电厂控制器沦为黑客禁脔，因而影响核能设施运作，险些酿成巨大灾厄。

看到这里，或许有些企业，自忖仅是中小型机构，并非赫赫有名的显着目标，黑客理应看不上眼，暗自庆幸不会惨遭毒手；也有些企业，自承已经备妥了防毒、防火墙、垃圾邮件过滤、入侵防御系统(IPS)、数据外泄防护(DLP)、网页应用程序防火墙(WAF)、数据库稽核等一干网安盾牌，足以抵挡黑客进犯，还不解问道，这些遭骇的企业或政府组织，为何不像自己勤于布建防御工事？

莫以为你有APT豁免权

事实上，如果有企业因为前述两个理由，就认定自己可以安然无恙，铁定大错特错！根据某网安厂商在2013年所做的调查，8成企业机构受到APT攻击仍浑然不觉，其中更有高达逾7成的受骇单位，被形容像是癌末病人一般，已经让恶意程序在内部大肆扩散，这些单位除了有政府机构，以及坐拥油水电等关键基础设施的业者外，中小企业也赫然榜上有名，尤其是承包政府专案的业者，更是黑客觊觎之标的。

别的不说，许多人并不陌生的恶意简讯，譬如「您好，您的汽摩托车有交通罚单逾期未缴纳，查一查自己有无莫名其妙被照相或罚款的纪录，查询下载：http://goo.gl/eqhxtD」，即包藏了颇为恶毒的勒索软件，并从2014年起大举肆虐台湾，此虽非典型APT攻击，但却意谓你我身边已环绕着大量恶意网站、恶意软件，稍有不慎便会中招，绝不会因为你的服务单位毫不起眼，就可幸免于难。

另外，企业若以为拥有防火墙、次时代防火墙、入侵防御系统、防毒软件，抑或植基于关键字阻挡的防护系统，就能逼使黑客知难而退，也未免太过乐观。

此乃由于，这些看似强劲的盾牌，其实各有各的盲点，如同防火墙，系透过网络控制抵御恶意攻击，但面对来自允许网络位置的恶意程序，只会任由通行无阻，起不了作用；如同IPS，防御手段构筑于网络规则之上，无法侦测到需要档案分析的恶意程序；接着以防毒软件而论，显而易见的，其仅可防护已知攻击，根本无从侦测未知恶意程序，而迄至今日，人们几乎未闻「已知」APT攻击，足见处在APT从未知变已知的空窗期，防毒软件根本束手无策。

值得一提的，本文一开始提及的Target，不但绝非疏于防护，而且甚至称得上网安模范生，仍难免百密中显露一疏，酿成无可收拾的祸患。

Target究竟是怎麽一回事？该公司为了避免遭受APT，早先已斥资160万美元引进知名防御方案，建立了业界认定最为有效的沙箱模拟机制，并于印度设置一组安全团队，负责监控Target的信息安全，而包括原厂FireEye及印度安全团队，事实上也相当尽责，已将蒐集的告警信息，转送予Target位在美国的安全监控中心(SOC)。

然而，这些可疑的恶意活动，毕竟仅占每周所有网络活动纪录的极小比例，这也意谓着，绝大多数网络流量并无异常，久而久之，Target的SOC团队逐渐失去戒心，未能立即处理可疑症万亿，错失了可提前遏止APT入侵的良机，殊为可惜。

另有业界人士解读，Target遭骇事件，看似起因于轻忽可疑警讯，但未必真是如此。据悉，Target SOC当中一名备受倚赖的经理人，在事发前离职，后续接手的负责人员，似乎未具同等技术能力，遂在APT黑客攻防中落居下风。

也有专家分析，现今黑客泰半狡猾至极，很懂得规避攻击目标既有的安全机制，因此若欲从一片蒙胧晦暗的微量迹象中，探索黑客行迹，就必须善尽事件的检测与分析，不能只把心力摆在警报的调查，举例来说，每当有警报发生，重点并非追查其攻击过程，而应探究这个警报对系统造成何等影响，包括IP位址做了哪些妥协，或是网络系统是否因而产生变化，但要想还原这些真相，不仅需要蒐集齐全的流量模式、系统设定与历史纪录等详细信息，亦需仰赖专业技术人员费神判读；很显然的，Target SOC团队要嘛选择舍难求易、避重就轻，要嘛即是缺乏足够技能，以致遭黑客长驱直入。

一个曾被夸赞的网安优等生，做了看似完备的防御工事，仍难免挂一漏万，甚至隐隐显露专业技术上的缺失，则多数台湾企业机构的网安整备度相对不足，又难以配置庞大专业人力，专门负责看管网络流量，因此盱衡一切条件，可知这些单位的防护实力，肯定逊于Target，既然如此，又怎能在敌人环伺下安枕无忧？

先撇开系统建置不谈，至少，企业之中除了IT管理者外，下至基层员工、上至高端主管，个个都务先养成正确的防护观念，不使用高危软件，不造访高危网站，不忽视系统更新事宜，先站稳趋吉避凶的第一步。