善用云端网安服务　迎战APT/DDoS目标式攻击

中华电信数据通信分公司网安产品研发负责人吴明峰。

从2014年开始，国内外网安事件可谓接连不断，不论是2014年4月惊爆的OpenSSL Heartbleed漏洞，让人惊觉开放原始码并不如想像中安全，同年9月iCloud的好莱坞女星私密照外泄，同年10月美国摩根大通银行被骇，同年11月Sony影业遭骇，2015年3月GitHub遭遇史上最大规模DDoS攻击，一直到2015年4月微软IIS惊爆HTTP.sys死亡漏洞，在在给予企业莫大震撼。

中华电信数据通信分公司网安产品研发负责人吴明峰归纳，近期最为严重的两大威胁，无疑就是APT攻击与大流量DDoS攻击，前者案例包括了韩国Dark Soul、摩根大通、Sony影业等遭骇事件，后者经典案例则有香港占中公投、Spamhause、台菲DDoS、大陆大炮。

以前述摩根大通银行受骇事件为例，导致客户姓名、地址、电话、电子邮件及该公司内部信息外泄，受影响用户高达近7,600万个家庭、700万家小型企业，成为史上最大数据外泄案之一。另值得一得的现象，则是已证实大陆黑客集团利用微软技术论坛TechNet与Dropbox，同时透过https，隐藏其C&C中继站，将线上控制APT攻击活动伪装为合法行为。

APT再会躲藏  仍有蛛丝马迹可循

「尽管APT让人防不胜防，但它即使再会躲，仍会露出蛛丝马迹，就如同黑客也需要吃饭、喝水或逛街一样的道理，」吴明峰说，这些蛛丝马迹，可能显现于C&C 报到、新建帐号、猜口令、执行程序、弱点扫描、登入其他主机…等多项异常活动，但一般安全性信息和事件管理(SIEM)却往往无法看出端倪，主要是因为，SIEM只看设备Log并不足够，必须同时透过网络流量分析，才能迫使黑客无法隐藏踪迹；另外更重要的，传统网安解决方案仅靠特徵方式侦测恶意程序，也无法察觉黑客踪迹，必须藉助云端沙箱，藉由分析出恶意行为，才可真正找出并阻拦恶意档案。

着眼于此，中华电信遂融合三大关键要素，藉以建构云端网安服务，此三项要素包括了迹证完全保存、实时云端防御阻档，及恶意档案深度分析，且三者环环相扣、彼此呼应。

黑客费心攻击渗透  守方需提升对应能力

论及中华电信网安云端服务的轴心，无非即是SmartSOC巨量数据蒐寻保存服务机制，且一举涵盖了事前预防(Mail)、事中侦测(Traffic)、事后调查及事后监识(Log/Data)等四大机能，透过完整的数据保存，还原网安事件真相，除了保存关键信息之外，前两项系由「APT狙击手」云端APT防护阻挡服务实现，后两者则由中华监识团队负责执行。

吴明峰强调，SmartSOC内含企业流量与Log完整保存、巨量数据蒐寻分析告警、威胁情报自动汇入更新、弹性关联规则与告警机制等四大特色。

假使有一个使用情境，黑客寄送恶意邮件给企业员工，主机中毒后自动连线至C&C中继站等待黑客指令，接着黑客利用中毒主机攻击其他标的，最终窃取公司机密并传送至恶意中继站；此时如果有SmartSOC从旁辅助，一方面即可查找恶意邮件名称，确认有多少使用者收到此信，二方面利用日志查询中继站IP，并透过手动防火墙进行阻档，三方面则查找服务器流量，确认受害主机数量及机密数据外泄情况，以期将灾害控制在最低范围之内。

至于APT狙击手，则具备部署方式自由弹性、实时深度流量分析、未知进阶攻击侦测、跨平台完整分析、告警通报与报表分析，及网安通报平台整合等六大功能特色，其可完整呈现APT攻击纪录与分析结果，且能与IPS、WCF、SDN连动防御，赶在第一时间阻断C&C控制，让黑客无法扩大APT攻击成果；截至目前，中华电信APT云端分析平台可实时分析30GB网络流量，未来仍将持续扩充。

深究APT狙击手架构，针对APT攻击多变的特性与其攻击管道，同时包含网络流量与邮件的深度分析，借此发挥数项关键优势，包括「网络防护」、「邮件防护」、「档案防护」、「部署弹性」与「高度整合」，因此不管是APT追溯分析、APT邮件内文档案分析、多种APT档案格式分析(Office、PDF、APK或压缩档)、Mirror/In-line模式兼备、支持异地扩充、实时告警拦阻、Top10受骇名单统计…等等用户需求殷切的防护功能或部署特性，APT狙击手可谓一应俱全。

另针对DDoS部分，吴明峰归纳近两年较为常见的攻击型态，包括影响服务器效能的Slowloris，影响Apache Server效能的Apache killer，影响网络带宽的DNS Reflector，以及同样冲击服务器效能的CC攻击(Challenge Collapsar Attack)，其中又以制造大流量的DNS Reflector与CC攻击最容易成为信息人员的噩梦。

针对这些DDoS攻击，中华电信特别建立DDoS防护服务架构，为客户同时提供Border Router Blackhole、Sinkhole、防护清洗中心(此中心内含骨干级带宽与大型网安防护设备)之加值服务项目，不仅可阻挡国际流量与非HiNet ISP流量，且能有效应付满频攻击、高PPS与高Session数量之攻击。

吴明峰并强调，面对超大流量DDoS攻击，只靠企业端阻挡，往往无法解决问题，唯有透过云端DDoS防护才能有效缓解DDoS攻击。而APT或DDoS黑客花费了更多时间与精神进行攻击和渗透，防护一方也应该提升对应的能力，才不会被时代潮流所淘汰。