觀點

<2014資安趨勢>防堵APT攻擊:多維度防禦+漏洞及時更新修補

2013 / 12 / 05
編輯部
<2014資安趨勢>防堵APT攻擊:多維度防禦+漏洞及時更新修補

儘管隨著雲端運算應用日趨多樣化,有助於企業用戶降低營運成本,提高資料的傳輸速度,但是伴隨而來的複雜資訊架構,卻也讓公司深陷駭客的陷阱而不自知。以2013年初爆發南韓金融、軍方與政府單位被北韓駭客攻擊的事件為例,至少導致4000部電腦被植入病毒,大量機密資料遭受竊取,硬碟機更被破壞。根據事後許多資安專家分析,要發動如此龐大的攻擊,不僅要同時使用多種惡意程式,潛伏期至少要長達半年以上。

在協助企業於雲端環境中建立安全資訊系統的前提下,資安人在「砍掉雲端威脅、做好機密保護」2014資安趨勢論壇中,邀請到了多位專家、學者分享對資安防護的看法,勤業眾信更以顧問公司的角度,提出相關建議與作法,讓企業能夠在享受雲端優點時,同時有效杜絕駭客的攻擊。

其實早在2012年,Gartner就預言IT趨勢將轉變為以雲端運算為基礎之新興應用,所以不光全球企業積極導入公有雲端應用,政府機關也積極推動雲端服務,例如台灣政府已經推出不少雲端服務,例如食品、警政等10朵雲。勤業眾信企業風險管理協理溫紹群指出,企業在享受雲端帶來的便利時,必需要重新檢視使用雲端服務的風險,因為許多雲端服務業者保證的穩定與安全性,都因為遭受駭客攻擊或硬體設備的問題,出現服務停擺或當機的現象。

勤業眾信企業風險管理經理林彥良認為,商業機密資料外洩對企業營運有非常大的影響,在營業秘密保護法的規範中,公司必須提供相關紀錄佐證,才能提出求償告訴,所以在資安架構規劃上,一定要做好軌跡紀錄的工作。

目前全球各國如美國、日本等等,都非常積極發展證據保全與數位鑑識的工作,主要考量到駭客攻擊已經轉向政治目的與基礎設施,所以若要揪出幕後的兇手,只能倚賴數位工具的協助。中華民國電腦稽核協會理事長林宜隆博士說,在2012年頒佈個資法的條文中,也明白指出必須詳細紀錄個人資料的存取狀況,包含記錄、輸入、儲存、編輯等等,才能在資料外洩時找到原因。

APT攻擊手法多變 精準度提高

根據Verizon Data Breach最新統計報告指出,2013年全球平均每3分鐘就會發生一次APT攻擊事件,而且有高達184個國家被攻擊次數增加了41%,其中又以亞洲與歐洲增加46%最高。值得注意之處,新型態APT攻擊以精準攻擊為訴求,平均只需要3封電子郵件就可以攻破企業資安防護網。

FireEye台灣總經理馬勝彰認為:「企業在面對新型態的APT攻擊手法時,過去各個資安設備獨立運作的方式,已經無法應付雲端時代下的需求,在雲端時代下的防護策略,應該要從多維度聯防概念著手,才能阻擋APT多面向的攻擊。」

傳統資安防護工具失效的原因,在於透過特徵碼資料庫比對的方式,根本無法找出新型態的惡意程式。FireEye技術經理林秉忠解釋:「要對抗APT攻擊,透過Hypervisor-MVX多維度虛擬分析引擎,可以快速偵測與分析惡意程式的行為,即時找出潛在的威脅,進而在不同階段進行防堵,打造最完善的防護機制。」

Websense北亞區技術總監莊添發指出,一般而言APT攻擊大約可以分成七階段,企業用戶應該在不同管道應用適合的工具,如阻擋惡意社交郵件、沙箱分析惡意郵件附檔 、即時動態惡意網站分析等等,便能徹底阻斷惡意程式的連結,確保機密資料的安全。

找出企業潛在漏洞 及早進行漏洞修補

回顧企業投入大筆預算添購各種資安設備,用意在保護機密資料安全,但是根據多家研究機構的調查結果,資料外洩事件發生的原因有超過80%是內部管理不當,僅有少數是駭客從外部入侵所致,顯見從企業內部管理著手,才能夠建立更好的資安防護機制。

CyberArk亞太區副總裁Dan Dinnar指出,但是多數企業並沒有針對高權限帳號的密碼進行控管,以致於發生資料外洩事件,資安人員也無從帳號使用軌跡找出外洩的管道。因此CyberArk推出的高權限帳號管理的解決方案,可在不影響員工既有工作流程的狀況下,協助資安管理人員做好帳號與密碼管理的工作。

其實新型態APT攻擊能夠成功入侵企業的關鍵,在於企業內的資訊架構存在許多漏洞,所以駭客才能在資訊人員毫不知情的狀況,透過各種漏洞植入惡意程式。雖然部分企業會委託資安公司定期進行弱點掃描,但受限於預算有限,以致於時間間隔過長,也給了駭客入侵的機會。Tenable Network Security大中華區總經理莊昊龍認為,企業藉由軟體掃描工具,以Tenable Nessus的產品為例,便可以檢查54,000多個安全弱點,掃描包含大型主機、雲端應用程式、虛擬作業環境等等,最後還能得到詳細的報表資訊。

「弱點掃描是防堵駭客入侵的重要步驟,但是資安人員得思考找到的漏洞後,要如何進行後續修補的工作。」邁格行動技術顧問顧新貽指出:「如果沒有一個完善的自動佈署更新工具 ,完全依靠人工進行更新佈署,將非常耗費時間且容易出錯 。」因此,企業應該要重新規劃資安架構,在偵測到漏洞之後,藉由自動化工具下載修補程式與快速佈署,更新時機也可依照公司需求,提供隨選執行或完全自動化進行。

如前所述,漏洞修補是杜絕惡意程式入侵的最佳方法之一,加上軟體廠商推出漏洞修補的速度愈來愈快,理論上應該沒有駭客生存的空間,但是並非所有自動化部署工具,都能夠即時下載與修補企業內部的漏洞。

Beyond Security Asia Ptd Ltd, Director Mr. Pang Ying Kiat 表示,市面上提供弱點偵測與漏洞修補的工具不少,其中的差別在於對應用程式的支援數量,以及能否即時掌握軟體公司發出漏洞更新的時間,否則即便發現資訊架構中的漏洞,若無法在第一時間內進行更新,自然也無法讓企業免於駭客的威脅。

從近幾年機密資料外洩事件的案例來看,企業要防堵APT的攻擊,除仰賴更完善的資安設備外,也必須時時檢視公司內部是否有漏洞存在,並且進行即時修補,才能建立滴水不漏的防護體系。