《主題式電子月刊— 2013.6 月》| 如您無法瀏覽完整頁面請按此 ! | ||||||||||||||||||||||||
面對 APT,除了買產品你還能做的許多事 |
||||||||||||||||||||||||
今年 3 月,南韓駭客攻擊事件引起全球關注,連帶也提昇企業對 APT 防禦的重視程度,從二年前 APT 一詞興起後,市場上逐漸出現 APT 解決方案,最早開始推出的是 專屬硬體設備 ,之後則有一些網路設備廠商在現有產品中,添加一些與 APT 攻擊防禦有關的 功能模組或服務 。無論哪一種其功能大部份都是網路入口端的偵測,即偵測郵件中的附檔或網址連結是否為惡意,或是網路出口端的檢查,即從前述分析結果找出 C&C 伺服器的 IP ,並阻斷連線。 |
|
|||||||||||||||||||||||
就像面對流感一樣,你可以選擇預先施打疫苗或在感染後迅速就醫,這些都是針對流感疾病的處理方式,但除此之外,良好的生活習慣與適當運動也能增進人體免疫力,降低自身遭流感病毒侵襲的機率,企業面對 APT 威脅也是相同的道理,除了針對 APT 的專屬設備外,企業還是可以從流程、人員與現有環境等其他方面著手來提昇對 APT 的防禦能力,其中最明顯的例子就是社交工程演練。 |
||||||||||||||||||||||||
除了防禦 APT 專屬設備外,過去一年來,許多資安廠商著眼於 APT 商機,透過更新或強化的方式,對 APT 威脅開發出相對的防護功能,在既有產品優勢下去分食這塊市場大餅,因此,本文將以不是專屬設備,但也具 APT 阻擋功能的解決方案為主,提供企業除專屬設備外的另一種選擇。 |
||||||||||||||||||||||||
如何面對 APT 攻擊並做好資安防禦,是現今所有企業的重要課題,本文走訪一位曾經處理過 APT 攻擊的資訊長(以下將用 X 先生做為代號,其任職單位則簡稱 Y 企業),由其分享事件處理經驗及後續改善機制,希望能做為其他同樣遭遇資安威脅單位的參考。 |
||||||||||||||||||||||||
【解決方案 -3 】 APT 因應重點 做好主機監控稽核及早發現可疑異常 |
||||||||||||||||||||||||
隨著潛伏時間一久,駭客也彷彿如入無人之境,從端點、重要主機、到存放重要資料的資料庫或檔案伺服器等,一一將資料打包帶走。而所謂重要主機,包括安裝有 AD 、防毒軟體、資產管理軟體、軟體派送系統等主機,尤其從 DarkSeoul 與電子公文入侵事件來看,具備有軟體派送或檔案傳輸特性的主機,都可能成為駭客用來散佈惡意程式的管道,企業應特別加強監 控。 |
||||||||||||||||||||||||
日本受駭企業橫向合作 建立 APT 攻擊資訊共享機制 |
||||||||||||||||||||||||
APT(Advanced Persistent Threat) 讓人聞之色變,然而因其包含範圍可廣可窄,有時難免出現名詞使用不當的狀況,在混餚問題的同時也造成問題的嚴重性得不到理解。在〈日本間諜攻擊事件簿 尋求國際戰爭合作〉一文中,我定義了 APT 是『針對特定的組織或個人,組合各種手法對其實施持續的攻擊,以獲得所要資訊 / 文件的間諜行為』,又簡稱目標間諜攻擊。 |
||||||||||||||||||||||||
與其假造不如入侵合法網站 水坑式攻擊成 APT 最新手法 |
||||||||||||||||||||||||
以前,駭客多半會寄送夾帶惡意檔案或釣魚網址的電子郵件給攻擊目標,現今則是觀察攻擊目標習慣瀏覽哪些網站,再去入侵那些網站並植入惡意程式,等待攻擊目標造訪該網站時再趁機感染進而竊取資料。 |
||||||||||||||||||||||||
【 2013 資安趨勢】 APT 攻擊依舊存在 政府是駭客頭號目標 |
||||||||||||||||||||||||
從資安攻擊的現況與未來趨勢來看明年資安市場發展的話,有幾個方向是值得注意的:首先是網頁攻擊,不管是惡意程式的植入以感染其他瀏覽者或是直接竊取網站資料等,這種透過網頁攻擊的手法會依舊存在,資安廠商也希望能藉此帶動像 WAF 、次世代 IPS 這類網路安全閘道的市場需求。 |
||||||||||||||||||||||||
動靜之間 讓 APT 無所遁形 |
||||||||||||||||||||||||
目前市場上的 APT 解決方案仍傾向單一功能設計,並不是針對一般的病毒或垃圾郵件掃描,所以對非 APT 的攻擊而言,這些解決方案在抵擋效果上當然有限。這也意謂, APT 解決方案就目前而言並無法取代其他的網路安全設備,而企業所要考量的,應該是在層層的檢測設備下,它所部署的網路位置與可能影響的網路效能問題,關於這點,我們稍後再談。 |
||||||||||||||||||||||||
看 APT 實際案例 破案關鍵在聯防 |
||||||||||||||||||||||||
倘若企業已遭 APT 鎖定攻擊,此威脅將會一直存在,沒看見不代表沒發生,當所有的系統均正常運作時,企業可能早已受到 APT 之威脅,此時更應思考是否仍有什麼未曾注意到地方。想要發現是否已遭受 APT 攻擊,相對的也考驗到企業資訊人員對於事件處理的敏感程度,已發生的事件是否具連貫性,甚至還有多少威脅是存在但我們仍未發現的? |
||||||||||||||||||||||||
更多關於 APT 主題文章 |
||||||||||||||||||||||||
每天 1 小時 7 天就能完全掌握數位鑑識 |
||||||||||||||||||||||||
本教學光碟深入說明資安事件範例與免費工具逐一介紹,希望能培養單位內 IT /資安人員擁有資安事件緊急應變能力,能在第一時間內按照正確處理程序,保存相關資訊與做好數位證據保全,了解哪些是單位人員該做的,哪些是可找外部專家協助的部分。請至活動網址下載訂購單,資安人科技網會員享 8 折優惠價 1099 元,數量有限,敬請把握! |
||||||||||||||||||||||||
關於《資安人主題式電子報》 |
||||||||||||||||||||||||
此份主題式電子報由資安人科技網製作,每月發行。由網站編輯挑選資安人科技網中相關主題文章精華,讓您快速掌握主題深度閱讀。 版權所有,禁止未經授權轉貼節錄。 若對電子報的內容有任何疑問或要求轉貼授權,請來信。 |
||||||||||||||||||||||||
此郵件是系統自動傳送,請勿直接回覆此郵件,若您不願意再收到資安人的任何訊息, 請按退訂。 謝謝您! |
||||||||||||||||||||||||