觀點

雲端沙箱與郵件閘道聯防 Anti-APT as a Service最符經濟效益

2014 / 07 / 28
Cellopoint 實驗室
雲端沙箱與郵件閘道聯防 Anti-APT as a Service最符經濟效益
隨著資訊安全攻防技術不斷演進,躲藏在暗處的駭客似乎略佔上風,各單位組織、政府、銀行金融業的資料洩漏事件頻傳,令CIO及IT主管頭痛不已,歸咎原因,除了內賊人謀不臧要靠制度與稽核流程把關外,來自外部Internet的網路威脅正方興未艾,正是今天討論的主題- APT(Advanced Persistent Threat)進階持續性鎖定目標的滲透攻擊與威脅。

APT是利用以特徵碼為基礎的資安設備漏洞
當今來自五湖四海的黑客、網軍與商業間諜以更有組織、更有系統地研究傳統的網路安全設備之運作原理與漏洞,諸如防火牆(Firewall)、入侵防禦(IPS)、郵件過濾閘道(Anti-spam Gateway)、網頁過濾閘道(Web Filter Gateway)及端點防禦防病毒(Anti-Virus)等,大多以特徵碼為基礎去比對與攔截。

根據長年研究病毒與惡意程式的LastLine Lab分析(如圖1),傳統防毒廠商仍有存在價值,但力有未逮。從出現全新惡意程式(malware)到能夠真正攔截,當中可能耗時二天、兩週、兩個月、甚至一年,因此新形態APT網路攻擊是利用上述資安設備無法即時偵測到的全新惡意程式形態滲透。
圖1

APT滲透的方式
電子郵件是非常簡單且成本低的滲透工具,透過社交工程釣魚郵件(Phishing mail)即可輕易突穿防火牆的防線,因為防火牆會開放標準的SMPT(Port 25)做合法存取,因此防火牆形同虛設。再來是郵件過濾閘道器,傳統反垃圾郵件或防病毒廠商如果沒有蒐集到這封釣魚郵件的樣本,就沒有這封郵件的特徵,自然無法比對與攔截此郵件,最後,只能看收件人對這封郵件的好奇心了。而社交工程郵件就是基於好奇心特別設計的,包括去年的李宗瑞鹹濕影片、交通違規罰款通知、各單位電話分機更新表等,開啟率及點擊率都很高。其它可透過上網,除了下載正常網頁外,其背景可能已偷偷自動下載一隻特洛伊木馬後門程式;另外,檔案傳輸(ftp)也都是常見滲透的起始方式,伺服器透過上傳與下載,很容易感染與擴散惡意程式;最後,則是Android為基礎的行動裝置,有可能前一天晚上家中小朋友下載免費APP遊戲,第二天您帶著此平板電腦到公司,透過公司Wireless AP上網,結果惡意程式還可以橫向擴散感染其他主機電腦。

對抗APT的策略
對抗全新APT之方法並非取代傳統資安防禦體系,而是補強缺口與加強員工良好使用習慣,以往CIO或IT經理在提列年度資訊安全維運預算時,防毒、防垃圾郵件、入侵防禦與防火牆的支出被視為理所當然;但是某單位萬一不幸發生資安洩密事件時,CEO第一個質疑的是該花的錢都已花了,為何還是出事?殊不知資訊安全沒有100%,但是達到99%與99.999%的資安等級卻有天壤之別,因此花錢單位的主管(CIO或IT經理)如何提出APT防護政策顯得格外重要,如何做出資安風險評估報告,需要靠科學數據來佐證,以一封APT的釣魚郵件而言,他的威脅與破壞力,可能會勝過100封已知(known)的病毒郵件(已被偵測與隔離),更勝過一萬封的垃圾郵件或廣告郵件;但是弔詭的是透過攔截統計報告一看,APT的攔截事件數量遠低於Anti-Spam與Anti-Virus,非技術主管肯定會質疑Anti-APT的表面數字,此時,CIO必需要再做更科學的風險威脅評估,方能獲得最終決策者支持。

市面APT產品與服務
這兩年市面上出現了不下十家與APT相關的產品,有針對郵件做APT偵測的,有針對對外網頁連線的;有在客戶端佈署沙箱(sandbox),也有透過雲端做沙箱檢測的,更有廠商號稱不用沙箱獨家調配的DNA祕技;有些是專屬Anti-APT設備,也有些是傳統防火牆或NGFW廠商,不論採用何種技術,重點要擁有高偵測率、低誤判率,再輔以簡單直覺的報表,讓IT維運人員輕鬆操控,方為極品。但尋覓極品談何容易,市面上頂級產品動輒破千萬元,非一般單位組織可承受,而中階產品為何價格不貴呢?也許技不如人,抑或攔截率不夠精確,這有待商榷;但廠商若擁有高階產品為何要降價呢?答案很簡單,搶市場與市佔率,因此這是消費者的福音,透過多家測試與比價,可以找到最符合經濟效益的解決方案。

Anti-APT as a Service
以APT防禦的投資與預算考量,用戶自建沙箱,自建關聯式分析與統計引擎,再加上蒐集網路流量的探針(Probe)將會所費不貲,如何擁有完整Anti-APT聯防體系,又不要投資大量成本,雲端聯防服務(Anti-APT as a Service)是一種不錯的選擇(如圖2),資訊安全服務供應商在雲端機房佈署沙箱檢測叢集環境,及關聯式分析與統計引擎中控台,再提供Anti-APT服務給廣大用戶,在用戶端可輕鬆且快速部署Probe,它在Internet出口端偵測對外合法的網路連線外,針對C&C call back行為,非法惡意下載,異常連線與物件皆可分析與偵測,方能全方位深層檢測APT威脅;此外,傳統Anti-Spam或Anti-Virus閘道器無法有效透過沙箱模擬點擊釣魚連結或開啟惡意附件,諸如常見的Word、Excel、Power Point或PDF,甚至壓縮檔,但現在已經有Anti-Spam廠商可以在掃描完spam及virus後,再針對可疑的連結或附件,透過安全連線送往Anti-APT雲端沙箱做檢測與關聯式分析,透過聯防機制降低總持有成本TCO(Total Cost of Owership),市面上Cellopoint Anti-spam Gateway則是一例。
圖2 雲端聯防服務架構圖(圖片來源:Cellopoint提供)

專業服務與事件分析
除了上述APT聯防外,各個資安設備與廠商間亦有機會交換情資,包括最新的威脅情報動態資料庫TID(Threat Information Database)更新,全球發送垃圾郵件與釣魚郵件來源信譽平等資料庫SRL(Sender Reputation List)等等,皆可做有效利用,好比十年前採用RBL黑名單,十年後需要TID與SRL等即時動態情資來防禦最新威脅。此外,除了本身關聯式分析引擎可做各個事件關聯與威脅等級分析外,透過Log與通用事件格式CEF(Common Event Format)可與SIEM安全資訊和事件管理機制做整合,以找出隱藏的威脅與滲透,諸如HP ArcSight, IBM Q1 Labs, Splunk等,並協助做數位鑑識與犯罪分析。

總結
除了上述傳統的資安設備再加上全新Anti-APT聯防機制外,縱深防禦再完備,如果員工沒有好的資安觀念與謹慎的使用習慣,仍然無法防範駭客威脅,因此定期的社交工程郵件滲透測試演練成為必要課目,亦可列為IT單位及員工績效考核評分,方能徹底防範千變萬化的資安威脅與網路攻擊。
關於 Cellopoint 實驗室
CelloLabs成立於2005年,成員來自各國頂尖大學及研究所,及業界實戰經驗豐富的資深專家與顧問所組成,成立初期專門針對電子郵件相關領域做深入的研究,包括 RFC 標準、IETF草案,結合理論與實務,並開發出以下核心技術與解決方案,包括CelloOS? 安全強化與效能最佳化作業系統,CGAC? (Cellopoint Global Anti-spam Center) 全球反垃圾郵件監控中心與全球垃圾郵件發送來源信譽評等資料庫SRL(Sender Reputation Lists);當中歷經含URL的釣魚郵件與夾帶惡意程式的檔案附件威脅,因此本實驗室跨出電子郵件安全領域,特別針對上網行為(web)及各種檔案(content)偵測,及Android行動裝置之APT行為做監控,透過虛擬化與沙箱(sandbox)做深層檢測與關聯式分析技術,深入研究駭客手法與行為,偵搜全球受感染與被控制的殭屍網路與C&C主機,成為面向更廣的資訊安全實驗室之一。