APT攻擊頻傳 客製化防禦策略日漸重要
進階持續性滲透攻擊(Advanced Persistent Threat;APT)近年來事件頻傳,已經引起各界高度重視,值得注意的是,駭客的攻擊對象已經開始從過去以政府單位為主,轉而開始攻擊企業。趨勢科技資深技術顧問黃源慶指出,最近已經有不少企業遭遇目標攻擊或網路詐騙,損失金額從幾千美元到幾十萬美元之間,受害企業不但遍及各種產業,更重要的是,即使是中小企業也難以倖免。
黃源慶指出,駭客的能力與技術與日俱進,即使是技職體系,都可能出現相當厲害的駭客。中小企業缺乏資訊人員,許多資訊系統也都委外處理,遭遇APT時往往會不知所措,因此平日就得小心在意,學習如何面對各種資安威脅。
一般而言,政府單位比較容易碰到網路軍隊,企業則是比較容易碰到商業間諜駭客或駭客組織。黃源慶指出,商業間諜駭客的犯案手法,針對鎖定對象多半都有固定模式,如針對金融單位,主要是設法取得客戶資料,再透過盜刷等手法取得不法利益。
商業駭客攻擊事件,可說是遍及海內外。如南韓320事件,就有南韓多家媒體與金融業約48,000台電腦與伺服器受到APT攻擊,影響所及,不僅銀行、媒體的業務運行中斷,受感染機器上的資料也無法回復,損失難以估計。
而隨著愈來愈多的企業導入BYOD(Bring Your Own Device),這些手持智慧裝置,也已經成為APT攻擊非常喜歡鎖定的對象。黃源慶表示,APT攻擊的形式其實非常多樣,可以透過各種工具達成,BYOD因為使用範圍非常大,很容易形成資安漏洞,讓駭客有機可乘,也就成為商業駭客鎖定的對象。
如很多人拿到手機或平板後,喜歡執行的Root或JB,就可能造成資安漏洞。黃源慶指出,不管是Root或JB都需要修改工具,這些工具其實都是利用類似駭客的手法,讓使用者取得使用權限,但由於並非所有修改工具都是安全的,如果使用者自行安裝,等於是自己將相關威脅直接放到自己的裝置上,如同自廢武功,引狼入室。
但就算企業或個人積極管理,不會在行動裝置上安裝來源不明的軟體,也不代表就可高枕無憂。黃源慶指出,甚至有駭客會利用偽造的Google Play網站,讓使用者不知不覺安裝駭客軟體,可見針對BYOD的資安威脅,可說是層出不窮。
此外,趨勢科技在今年四月發現,國內有駭客組織假冒健保局發送信件給中小企業的負責人、人資或財務部門,相關人員不察,就會點選信件連結,打開Word檔案,電腦就因此中毒了,也導致超過一萬多筆中小企業個資外洩。
但台灣雖然早在十幾年前就遭遇駭客攻擊,APT攻擊最近更是盛況空前,但黃源慶指出,台灣各界不管是政府或企業,作為都不夠,防禦能力都不夠強。如夾帶附件的社交工程電子郵件,是APT最主要的攻擊方式,比例超過90%以上,而且發信單位常常會冒充政府單位或資訊部門,用戶可說是防不勝防。
為了對抗APT,黃源慶建議企業要建立APT防禦概念,如提高社交防禦的門檻,加強威脅事件的偵測與感知,強化鑑識的回應與清除,鑑識成果還可作為社交防禦門檻進一步的設計參考。
如針對惡意社交郵件,必須先進行偵測及攔阻,再即時分析惡意程式,並找出可利用資訊,用來偵測網路可疑行為,找出受害電腦,並阻斷惡意的連線行為,最後清除利用其他方式進入或早已存在的惡意程式,以建立APT縱深防禦策略架構。
綜上所述,駭客的攻擊模式,可說是變化萬千,企業如果只是被動的防禦,擋得了一時,擋不了一世。黃源慶認為,企業一旦碰到APT,其實應該尋求資安事件調查(Incident Response:IR)團隊的協助,找出導致資安事件發生的相關資訊,如發生什麼事情、造成什麼影響損害、受害範圍及駭客的行為模式,甚至進一步分析攻擊的時間長短、來源及如何擴散等資訊,並做好資安健診,包括主機、網路封包及網路架構安全性的檢視,才能有效防止APT造成企業資安事故的發生。