善用雲端資安服務 迎戰APT/DDoS目標式攻擊 智慧應用 影音
TI(ASC)
Event

善用雲端資安服務 迎戰APT/DDoS目標式攻擊

  • DIGITIMES企劃

中華電信數據通信分公司資安產品研發負責人吳明峰。
中華電信數據通信分公司資安產品研發負責人吳明峰。

從2014年開始,國內外資安事件可謂接連不斷,不論是2014年4月驚爆的OpenSSL Heartbleed漏洞,讓人驚覺開放原始碼並不如想像中安全,同年9月iCloud的好萊塢女星私密照外洩,同年10月美國摩根大通銀行被駭,同年11月Sony影業遭駭,2015年3月GitHub遭遇史上最大規模DDoS攻擊,一直到2015年4月微軟IIS驚爆HTTP.sys死亡漏洞,在在給予企業莫大震撼。

中華電信數據通信分公司資安產品研發負責人吳明峰歸納,近期最為嚴重的兩大威脅,無疑就是APT攻擊與大流量DDoS攻擊,前者案例包括了南韓Dark Soul、摩根大通、Sony影業等遭駭事件,後者經典案例則有香港佔中公投、Spamhause、台菲DDoS、大陸大砲。

以前述摩根大通銀行受駭事件為例,導致客戶姓名、地址、電話、電子郵件及該公司內部資訊外洩,受影響用戶高達近7,600萬個家庭、700萬家小型企業,成為史上最大資料外洩案之一。另值得一得的現象,則是已證實大陸駭客集團利用微軟技術論壇TechNet與Dropbox,同時透過https,隱藏其C&C中繼站,將遠端控制APT攻擊活動偽裝為合法行為。

APT再會躲藏  仍有蛛絲馬跡可循

「儘管APT讓人防不勝防,但它即使再會躲,仍會露出蛛絲馬跡,就如同駭客也需要吃飯、喝水或逛街一樣的道理,」吳明峰說,這些蛛絲馬跡,可能顯現於C&C 報到、新建帳號、猜密碼、執行程式、弱點掃描、登入其他主機…等多項異常活動,但一般安全性資訊和事件管理(SIEM)卻往往無法看出端倪,主要是因為,SIEM只看設備Log並不足夠,必須同時透過網路流量分析,才能迫使駭客無法隱藏蹤跡;另外更重要的,傳統資安解決方案僅靠特徵方式偵測惡意程式,也無法察覺駭客蹤跡,必須藉助雲端沙箱,藉由分析出惡意行為,才可真正找出並阻攔惡意檔案。

著眼於此,中華電信遂融合三大關鍵要素,藉以建構雲端資安服務,此三項要素包括了跡證完全保存、即時雲端防禦阻檔,及惡意檔案深度分析,且三者環環相扣、彼此呼應。

駭客費心攻擊滲透  守方需提升對應能力

論及中華電信資安雲端服務的軸心,無非即是SmartSOC巨量資料蒐尋保存服務機制,且一舉涵蓋了事前預防(Mail)、事中偵測(Traffic)、事後調查及事後鑑識(Log/Data)等四大機能,透過完整的資料保存,還原資安事件真相,除了保存關鍵資訊之外,前兩項係由「APT狙擊手」雲端APT防護阻擋服務實現,後兩者則由中華鑑識團隊負責執行。

吳明峰強調,SmartSOC內含企業流量與Log完整保存、巨量資料蒐尋分析告警、威脅情報自動匯入更新、彈性關聯規則與告警機制等四大特色。

假使有一個使用情境,駭客寄送惡意郵件給企業員工,主機中毒後自動連線至C&C中繼站等待駭客指令,接著駭客利用中毒主機攻擊其他標的,最終竊取公司機密並傳送至惡意中繼站;此時如果有SmartSOC從旁輔助,一方面即可搜尋惡意郵件名稱,確認有多少使用者收到此信,二方面利用日誌查詢中繼站IP,並透過手動防火牆進行阻檔,三方面則搜尋伺服器流量,確認受害主機數量及機密資料外洩情況,以期將災害控制在最低範圍之內。

至於APT狙擊手,則具備部署方式自由彈性、即時深度流量分析、未知進階攻擊偵測、跨平台完整分析、告警通報與報表分析,及資安通報平台整合等六大功能特色,其可完整呈現APT攻擊紀錄與分析結果,且能與IPS、WCF、SDN連動防禦,趕在第一時間阻斷C&C控制,讓駭客無法擴大APT攻擊成果;截至目前,中華電信APT雲端分析平台可即時分析30GB網路流量,未來仍將持續擴充。

深究APT狙擊手架構,針對APT攻擊多變的特性與其攻擊管道,同時包含網路流量與郵件的深度分析,藉此發揮數項關鍵優勢,包括「網路防護」、「郵件防護」、「檔案防護」、「部署彈性」與「高度整合」,因此不管是APT追溯分析、APT郵件內文檔案分析、多種APT檔案格式分析(Office、PDF、APK或壓縮檔)、Mirror/In-line模式兼備、支援異地擴充、即時告警攔阻、Top10受駭名單統計…等等用戶需求殷切的防護功能或部署特性,APT狙擊手可謂一應俱全。

另針對DDoS部分,吳明峰歸納近兩年較為常見的攻擊型態,包括影響伺服器效能的Slowloris,影響Apache Server效能的Apache killer,影響網路頻寬的DNS Reflector,以及同樣衝擊伺服器效能的CC攻擊(Challenge Collapsar Attack),其中又以製造大流量的DNS Reflector與CC攻擊最容易成為資訊人員的噩夢。

針對這些DDoS攻擊,中華電信特別建立DDoS防護服務架構,為客戶同時提供Border Router Blackhole、Sinkhole、防護清洗中心(此中心內含骨幹級頻寬與大型資安防護設備)之加值服務項目,不僅可阻擋國際流量與非HiNet ISP流量,且能有效應付滿頻攻擊、高PPS與高Session數量之攻擊。

吳明峰並強調,面對超大流量DDoS攻擊,只靠企業端阻擋,往往無法解決問題,唯有透過雲端DDoS防護才能有效緩解DDoS攻擊。而APT或DDoS駭客花費了更多時間與精神進行攻擊和滲透,防護一方也應該提升對應的能力,才不會被時代潮流所淘汰。