觀點

國外金融業面對APT: 觀念與做法 (上篇)

2015 / 08 / 24
葉怡芬
國外金融業面對APT: 觀念與做法 (上篇)

APT是什麼?
首先,APT(advanced persistent threat)不是一個新型態的攻擊。一直以來,所謂的駭客利用各種進階的方式,有耐心且持續地攻擊目標,而APT為形容這樣行為的辭彙。然而,這樣的針對性攻擊有愈來愈多的趨勢,政府、銀行、大型企業遭受這樣攻擊的狀況與日俱增。例如,Operation Shady RAT這支惡意程式在2011年8月被公布時,已在美國政府的電腦及其供應商電腦中運作二年之久。近年發生的Sony駭客攻擊事件,也是一個典型的例子。

APT的特色為何?
想要有效對APT進行防禦,就要先了解它的特性。相對於防守者而言,APT的攻擊者至少有幾個戰術上的優勢:
一、缺少歸因性
要確認是誰發動此種攻擊是非常困難的,因為攻擊者時常利用複雜的跳板進行攻擊,要證明攻擊者的身分很不容易。
二、應用程式普遍充斥漏洞
這類型問題是最容易被APT攻擊者利用的,例如常見的注入式攻擊、權限提升漏洞,都充斥於線上的系統及應用程式。另一例子,就是許多類型的web camera因為有重大漏洞,如果它們連上網路,很易被攻擊者存取,並進入系統看錄影的內容。
三、使用者普遍缺乏正確的資安知識
攻擊者可能寄送釣魚信件給被瞄準的用戶,而因為攻擊者對用戶進行過調查,很容易能誘騙一般用戶開啟信件。這樣的釣魚信件標題可能是:2015年上半季績效公告。
當攻擊者打開郵件甚至是附件時,電腦就被植入惡意的程式,造成持久性的傷害。
四、諸多漏洞尚未被知曉,因此沒有補丁程式
這是APT攻擊中最強大的武器,即使是已上完補丁的系統(例如Windows已升級完成),仍無法防禦零時差漏洞。我們需要完整地防護所有重大漏洞,但攻擊者只需要找到一個重大問題,就可能達到目的。

[觀念篇] 國外如何做?
要防禦攻擊,就要先定義最重要的資產,並針對它們加強防護。
深度防禦(defense in depth)為行之有年的構念,實做上包含了預防(prevention)、偵測(detection)、resilience(彈性)、recovery(回復)四個階段,並同時應用於技術(technical)、實體(physical)、管理(management)三個不同的面向。Vladimir Jirasek(director of communications at the Cloud Security Alliance UK & Ireland)曾在ISACA研討會中提到,他說:企業必須先了解哪些是需保護的重要資產並謹慎評估其可能面臨的風險及其影響性。若沒有先進行全面及深度的評估,人們往往選擇簡單的選項而忽略重大風險的防範。

可以確定的是,沒有任何一種防護設備是可以完全阻擋APT的,所有的資安產品僅可以解決部分問題。我們必須透過布署多層面的保護措施,才能較有效地制止這類型的威脅。諸多國際大型企業安裝多種防護設備,仍不斷有資安事件發生,例如JP Morgan於2014年底的事件(https://en.wikipedia.org/wiki/2014_JPMorgan_Chase_data_breach)。舉例來說,深層防禦機制中「預防」包含偵測可疑的電子郵件(電子郵件若包含惡意程式或連結,將可能植入惡意程式於主機中)、預先對發布的程式進行完整的安全偵測(黑白箱、滲透測試)。「偵測」包含察覺可疑的連線(包含連出及連入)、定期進行防毒軟體掃描,而讓系統更有「彈性」則可讓攻擊發生時,系統能夠有效反應和緩解。「回復」則包含一個嚴格定義並持續演練的過程,讓系統遭受攻擊時,能以既定好的時程回復運作。

資安沒有特效藥,它是基本功的組成,以及一個不斷審視、查核的過程。根據Verizon Data Breach report,96%的攻擊事件會成功並不是基於複雜的原因,而是因為基本的防護並沒有做好。

本文作者目前任職於光盾資訊科技資深經理一職

下回將分享 [務實篇] 國外針對APT做法,敬請期待。