APT攻击频传 定制化防御策略日渐重要
进阶持续性渗透攻击(Advanced Persistent Threat;APT)近年来事件频传,已经引起各界高度重视,值得注意的是,黑客的攻击对象已经开始从过去以政府单位为主,转而开始攻击企业。趋势科技资深技术顾问黄源庆指出,最近已经有不少企业遭遇目标攻击或网络诈骗,损失金额从几千美元到几十万美元之间,受害企业不但遍及各种产业,更重要的是,即使是中小企业也难以幸免。
黄源庆指出,黑客的能力与技术与日俱进,即使是技职体系,都可能出现相当厉害的黑客。中小企业缺乏信息人员,许多信息系统也都委外处理,遭遇APT时往往会不知所措,因此平日就得小心在意,学习如何面对各种网安威胁。
一般而言,政府单位比较容易碰到网络军队,企业则是比较容易碰到商业间谍黑客或黑客组织。黄源庆指出,商业间谍黑客的犯案手法,针对锁定对象多半都有固定模式,如针对金融单位,主要是设法取得客户数据,再透过盗刷等手法取得不法利益。
商业黑客攻击事件,可说是遍及海内外。如韩国320事件,就有韩国多家媒体与金融业约48,000台电脑与服务器受到APT攻击,影响所及,不仅银行、媒体的业务运行中断,受感染机器上的数据也无法回复,损失难以估计。
而随着愈来愈多的企业导入BYOD(Bring Your Own Device),这些手持智能装置,也已经成为APT攻击非常喜欢锁定的对象。黄源庆表示,APT攻击的形式其实非常多样,可以透过各种工具达成,BYOD因为使用范围非常大,很容易形成网安漏洞,让黑客有机可乘,也就成为商业黑客锁定的对象。
如很多人拿到手机或平板后,喜欢执行的Root或JB,就可能造成网安漏洞。黄源庆指出,不管是Root或JB都需要修改工具,这些工具其实都是利用类似黑客的手法,让使用者取得使用权限,但由于并非所有修改工具都是安全的,如果使用者自行安装,等于是自己将相关威胁直接放到自己的装置上,如同自废武功,引狼入室。
但就算企业或个人积极管理,不会在移动设备上安装来源不明的软件,也不代表就可高枕无忧。黄源庆指出,甚至有黑客会利用伪造的Google Play网站,让使用者不知不觉安装黑客软件,可见针对BYOD的网安威胁,可说是层出不穷。
此外,趋势科技在今年四月发现,国内有黑客组织假冒健保局发送信件给中小企业的负责人、人资或财务部门,相关人员不察,就会点选信件连结,打开Word档案,电脑就因此中毒了,也导致超过一万多笔中小企业个资外泄。
但台湾虽然早在十几年前就遭遇黑客攻击,APT攻击最近更是盛况空前,但黄源庆指出,台湾各界不管是政府或企业,作为都不够,防御能力都不够强。如夹带附件的社交工程电子邮件,是APT最主要的攻击方式,比例超过90%以上,而且发信单位常常会冒充政府单位或信息部门,用户可说是防不胜防。
为了对抗APT,黄源庆建议企业要建立APT防御概念,如提高社交防御的门槛,加强威胁事件的侦测与感知,强化监识的回应与清除,监识成果还可作为社交防御门槛进一步的设计参考。
如针对恶意社交邮件,必须先进行侦测及拦阻,再实时分析恶意程序,并找出可利用信息,用来侦测网络可疑行为,找出受害电脑,并阻断恶意的连线行为,最后清除利用其他方式进入或早已存在的恶意程序,以建立APT纵深防御策略架构。
综上所述,黑客的攻击模式,可说是变化万千,企业如果只是被动的防御,挡得了一时,挡不了一世。黄源庆认为,企业一旦碰到APT,其实应该寻求网安事件调查(Incident Response:IR)团队的协助,找出导致网安事件发生的相关信息,如发生什麽事情、造成什麽影响损害、受害范围及黑客的行为模式,甚至进一步分析攻击的时间长短、来源及如何扩散等信息,并做好网安健诊,包括主机、网络封包及网络架构安全性的检视,才能有效防止APT造成企业网安事故的发生。