為獲取更大經濟利益,或者達成特定政治目的,駭客組織發動APT攻擊至今沒有停歇過,全球各地不時傳出機密資料被竊取的事件,如2015年美國健康保險業者CareFrist便遭到入侵,有高達110萬會員名單外洩,美國人事管理局亦爆發2150萬筆民眾的機密資料被竊取,涉及資料包過社會安全碼、教育資訊、心理健康資訊等等,後續可能衍生出許多詐騙行為。
此外,2016年大爆發的各種勒索事件,亦是在前述APT攻擊手法上衍生新型態威脅,此舉讓駭客組織可以更快取得龐大經濟利益,也會對企業造成更大經濟恐慌,證明資安人員過去耗費鉅資興建的資安架構,根本無力杜絕APT攻擊入侵。
中芯數據資安顧問吳耿宏說:「為應付各種攻擊行為,企業不斷添購各種資安設備,如防火牆、入侵偵測、垃圾郵件過濾等等,但是仍然缺少最重要的數位鑑識工具,缺乏察覺惡意程式入侵的能力,才會讓資安威脅頻頻發生。在趨勢科技公布的2013年台灣進階持續性威脅APT 白皮書中,僅有19%資安入侵事件是企業自行發覺,其餘有高達54%是由賴外部單位告知,突顯出建構數位鑑識機制的重要性。」
資安設備能力有限 無力阻擋惡意程式
在駭客攻擊手法不斷進步下,現有資安設備的偵測能力有限,根本沒辦法找出具有自我保護能力的惡意程式,而能夠監控網路封包運作狀況的數位鑑識,已被許多資安專家認為是找出入侵管道的重要方法。因為,傳統基於特徵碼比對的資安產品,只能防範已知的攻擊威脅,而APT攻擊是由多種未知威脅組合而成,根本無力阻擋駭客入侵。
儘管有業者推出可偵測惡意行為的沙箱機制,號稱能夠誘使惡意程式運作,達成偵測未知威脅的目的。不可否認,此種APT解決方案有機會讓企業到夾藏惡意程式的社交工程郵件,與異常的惡意程式連線,但依然無力杜絕機密敏感資料持續外洩的問題。此外,部分惡意程式已具備躲避沙箱偵測的能力,再加上行動裝置大行其道之下,駭客入侵企業管道愈來愈多,所以功能再強大的閘道型偵測設備,也法完全杜絕APT攻擊入侵,更遑論揪出異常的封包,以及找出哪些設備已被駭客入侵。
吳耿宏指出,相較於資安設備防堵資安威脅的模式,數位鑑識主要是以監控、分析為主,因此能在系統發生異常時,進行分析異常事件的始末、深入檢查檔案、追蹤源頭,進而整理總結事件始末,作為資安人員處理資安威脅的參考。
事實上,長年關注全球資安趨勢的Gartner,早在2014 年便公布一份資安研究報告,文中指出企業必須從預防、調查與處理等三方面著手,才能杜絕企業內部資安威脅事件不斷發生,也證明數位鑑識機制的重要性。
數位鑑識自動化 提高整體資安防禦利
然而受限於傳統數位鑑識機制,都需仰賴專業資安顧問的長時間處理,以致於僅有部分較為重視資安防禦的中大型企業,有能力且願意投入該平台建置。多數企業都認為建置數位鑑識機制成本過高,且需要花費很多時間執行該專案,且又不一定能夠達到預期目標,加上中小企業的資安人力有限,根本沒有足夠人力與資源推動,也讓數位鑑識流於紙上談兵的階段。
吳耿宏說:「要讓數位鑑識普及化,勢必要用自動化機制取代人工,才能降低整體建置成本。而中芯數據引進的CounterTack Sentinel,正是一個具備自動化端點檢測與反應的雲端服務,具有巨量資料等級的資料處理能力、不影響網路效能、無法被竄改的代理程式、可立即查看威脅動態等,以及立即阻斷威脅的能力,而中小企業只需要支付租賃費用,即可享受前述完整的數位鑑識服務。」
如此一來,資訊人員便能在CounterTack Sentinel平台上,完整收集端點設備所有運作行為,並且利用平台中的自動分析威脅能力,瞭解駭客曾經在哪些電腦出沒過、曾使用哪些程式存取與外流敏感資料,是否在電腦上埋藏隱密的後門,又或者修改過哪些應用服務與系統設定,有效讓企業免於資安風險。