駭客攻防與惡意程式威脅 回到資安Q&A
Q
如何因應APT攻擊?跟過去的防禦方式有什麼差別?
過去的資安防禦對策較著重於在整個系統的「入口」進行偵測防衛,為了因應APT攻擊,則應在「出口」再強化防禦措施,以防止資訊被竊出。這個指的是防火牆?DLP解決方案?除了產品該怎麼佈建之外,在資安策略面是不是也有些建議?
提問者: Hank 提問時間: 06/04/2012
A
值班醫師回應

因為傳統資安設備的運作原理在於不斷發掘新攻擊,分析特徵後進行防禦;由於APT攻擊不斷變動、量身訂製攻擊等特性,其特徵不斷在變動,由於無法鎖定其特徵,便非常難透過現有的資安設備(大部分基於特徵碼)進行偵測防禦。

針對APT攻擊的因應,在入口處應該採取的「不須依賴惡意程式特徵」的解決方案,而非傳統的資安設備(例如防火牆、入侵偵測以及防毒牆等等),這些解決方案應該依據APT的攻擊行為,如安裝後門軟體、回呼控管中心(C&C Channel)以及資料竊取等等行為模式進行資安的記錄、警告或是阻擋。 


圖片來源:由Winggy提供。


目前市面上相關的解決方案有:
1. 偵測Botnet設備:運作原理在偵測惡意程式回呼建立命令/控制頻道(Command & Control Channel),可以偵測內部電腦是否遭受APT攻擊滲透,並加以隔離保護。

2. APT行為分析設備:運作原理是透過沙箱或是靜態分析方式發掘不斷變形的進階持續攻擊,在不須惡意程式特徵碼的狀態下找出惡意軟體並加以阻擋過濾,以避免惡意程式透過Mail、Web等管道進入企業內部。

3. 資料安全設備:絕大部分APT攻擊的最終目的在於竊取有價值的資料,透過DLP這類資料安全防護設備,可避免資料遭受竊取造成外洩。


APT 攻擊植基在人的好奇心以及工作需求(例如開啟客戶的訂單資料)上,因此很難預防;針對 APT 的攻擊,在不添購的狀況下建議企業應:

1. 建立基本的資安政策 – 例如至少過濾及限制執行檔 (.com, .exe 等類型)的傳輸。根據觀察,透過傳送執行檔誘使使用者的點擊這種攻擊方式占了APT 攻擊行為的八成以上;這項設定只需要在現有的 anti-spam 或是電子郵件伺服器上進行基本設定即可滿足需求。

2. 保護員工個資 – 避免員工通訊資訊暴露於網路上,在駭客無法得知內部信箱資訊以傳送攻擊時,遭受攻擊的風險就會小得多。

3. 注意傳送到公用信箱的附件檔 – 例如傳送到 sales / service 信箱的郵件往往夾帶有許多攻擊內容,在開啟檔案之前建議先與送件方確認無誤後再行開啟。

4. 定期的資安教育宣導 – 不要任意點擊來路不明的執行檔、URL連結以減低受感染的機率。

資安急診室醫師介紹
資安顧問
資料外洩防治、新興攻擊研究、雲端安全、資安事件應變
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字