善用雲端資安服務　迎戰APT/DDoS目標式攻擊

中華電信數據通信分公司資安產品研發負責人吳明峰。

從2014年開始，國內外資安事件可謂接連不斷，不論是2014年4月驚爆的OpenSSL Heartbleed漏洞，讓人驚覺開放原始碼並不如想像中安全，同年9月iCloud的好萊塢女星私密照外洩，同年10月美國摩根大通銀行被駭，同年11月Sony影業遭駭，2015年3月GitHub遭遇史上最大規模DDoS攻擊，一直到2015年4月微軟IIS驚爆HTTP.sys死亡漏洞，在在給予企業莫大震撼。

中華電信數據通信分公司資安產品研發負責人吳明峰歸納，近期最為嚴重的兩大威脅，無疑就是APT攻擊與大流量DDoS攻擊，前者案例包括了南韓Dark Soul、摩根大通、Sony影業等遭駭事件，後者經典案例則有香港佔中公投、Spamhause、台菲DDoS、大陸大砲。

以前述摩根大通銀行受駭事件為例，導致客戶姓名、地址、電話、電子郵件及該公司內部資訊外洩，受影響用戶高達近7,600萬個家庭、700萬家小型企業，成為史上最大資料外洩案之一。另值得一得的現象，則是已證實大陸駭客集團利用微軟技術論壇TechNet與Dropbox，同時透過https，隱藏其C&C中繼站，將遠端控制APT攻擊活動偽裝為合法行為。

APT再會躲藏  仍有蛛絲馬跡可循

「儘管APT讓人防不勝防，但它即使再會躲，仍會露出蛛絲馬跡，就如同駭客也需要吃飯、喝水或逛街一樣的道理，」吳明峰說，這些蛛絲馬跡，可能顯現於C&C 報到、新建帳號、猜密碼、執行程式、弱點掃描、登入其他主機…等多項異常活動，但一般安全性資訊和事件管理(SIEM)卻往往無法看出端倪，主要是因為，SIEM只看設備Log並不足夠，必須同時透過網路流量分析，才能迫使駭客無法隱藏蹤跡；另外更重要的，傳統資安解決方案僅靠特徵方式偵測惡意程式，也無法察覺駭客蹤跡，必須藉助雲端沙箱，藉由分析出惡意行為，才可真正找出並阻攔惡意檔案。

著眼於此，中華電信遂融合三大關鍵要素，藉以建構雲端資安服務，此三項要素包括了跡證完全保存、即時雲端防禦阻檔，及惡意檔案深度分析，且三者環環相扣、彼此呼應。

駭客費心攻擊滲透  守方需提升對應能力

論及中華電信資安雲端服務的軸心，無非即是SmartSOC巨量資料蒐尋保存服務機制，且一舉涵蓋了事前預防(Mail)、事中偵測(Traffic)、事後調查及事後鑑識(Log/Data)等四大機能，透過完整的資料保存，還原資安事件真相，除了保存關鍵資訊之外，前兩項係由「APT狙擊手」雲端APT防護阻擋服務實現，後兩者則由中華鑑識團隊負責執行。

吳明峰強調，SmartSOC內含企業流量與Log完整保存、巨量資料蒐尋分析告警、威脅情報自動匯入更新、彈性關聯規則與告警機制等四大特色。

假使有一個使用情境，駭客寄送惡意郵件給企業員工，主機中毒後自動連線至C&C中繼站等待駭客指令，接著駭客利用中毒主機攻擊其他標的，最終竊取公司機密並傳送至惡意中繼站；此時如果有SmartSOC從旁輔助，一方面即可搜尋惡意郵件名稱，確認有多少使用者收到此信，二方面利用日誌查詢中繼站IP，並透過手動防火牆進行阻檔，三方面則搜尋伺服器流量，確認受害主機數量及機密資料外洩情況，以期將災害控制在最低範圍之內。

至於APT狙擊手，則具備部署方式自由彈性、即時深度流量分析、未知進階攻擊偵測、跨平台完整分析、告警通報與報表分析，及資安通報平台整合等六大功能特色，其可完整呈現APT攻擊紀錄與分析結果，且能與IPS、WCF、SDN連動防禦，趕在第一時間阻斷C&C控制，讓駭客無法擴大APT攻擊成果；截至目前，中華電信APT雲端分析平台可即時分析30GB網路流量，未來仍將持續擴充。

深究APT狙擊手架構，針對APT攻擊多變的特性與其攻擊管道，同時包含網路流量與郵件的深度分析，藉此發揮數項關鍵優勢，包括「網路防護」、「郵件防護」、「檔案防護」、「部署彈性」與「高度整合」，因此不管是APT追溯分析、APT郵件內文檔案分析、多種APT檔案格式分析(Office、PDF、APK或壓縮檔)、Mirror/In-line模式兼備、支援異地擴充、即時告警攔阻、Top10受駭名單統計…等等用戶需求殷切的防護功能或部署特性，APT狙擊手可謂一應俱全。

另針對DDoS部分，吳明峰歸納近兩年較為常見的攻擊型態，包括影響伺服器效能的Slowloris，影響Apache Server效能的Apache killer，影響網路頻寬的DNS Reflector，以及同樣衝擊伺服器效能的CC攻擊(Challenge Collapsar Attack)，其中又以製造大流量的DNS Reflector與CC攻擊最容易成為資訊人員的噩夢。

針對這些DDoS攻擊，中華電信特別建立DDoS防護服務架構，為客戶同時提供Border Router Blackhole、Sinkhole、防護清洗中心(此中心內含骨幹級頻寬與大型資安防護設備)之加值服務項目，不僅可阻擋國際流量與非HiNet ISP流量，且能有效應付滿頻攻擊、高PPS與高Session數量之攻擊。

吳明峰並強調，面對超大流量DDoS攻擊，只靠企業端阻擋，往往無法解決問題，唯有透過雲端DDoS防護才能有效緩解DDoS攻擊。而APT或DDoS駭客花費了更多時間與精神進行攻擊和滲透，防護一方也應該提升對應的能力，才不會被時代潮流所淘汰。