https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

MIS的逆襲-企業怎麼面對APT攻擊?

2011 / 09 / 20
賈芳
MIS的逆襲-企業怎麼面對APT攻擊?

Advanced Persistent Threat,簡稱為APT,中文一般翻譯成先進持續威脅;簡單來說,APT其實就是有組織且有針對性的網路間諜活動,有點類似前些年常被談論的目標式攻擊(Target Attack)的進化版。根據維基百科的說法,APT攻擊必需滿足以下三個條件:

 

1.先進(Advanced):僅會操作駭客工具包的駭客並無法滿足先進這個條件,APT攻擊除了使用傳統的攻擊技術外,通常還會針對目標的特性研擬不同的攻擊手法,也常會自己客製化一些專屬工具或未公開的0-day漏洞來達成它們的目的。

 2.持續(Persistent):與過去的快速與破壞性攻擊不同,APT攻擊通常是緩慢而低調的,攻擊潛伏的時間甚至可以長達一年以上。藉由長時間的潛伏,慢慢地將獵物的底摸清楚,一點一點地有效突破各階層的防禦,也讓受攻擊的目標難以察覺。

3.威脅(Threat):跟以往亂槍打鳥式的駭客攻擊不同,APT攻擊是由一個具組織性的攻擊團隊所發起的,這個團隊掌握豐富的資源(包含資金與技術),而且攻擊的標的也十分明確。

 

看過影集「新虎膽妙算」或電影「不可能的任務」嗎?影片中的任務小組除了網羅各領域的專業人才並掌握豐富的資源外,在每次鎖定任務目標之後,也會先收集目標的各種相關資訊,再逐步滲透,把任務目標的底摸清之後,最後一舉成擒;由於每次任務執行前都已先針對目標做過縝密的規劃與研究了,所以往往能夠順利完成任務。APT攻擊的情況其實與這些影片很類似,通常不是由個別的駭客執行,而是透過一個完整的任務編制團隊進行,針對目標進行勘查、收集資訊,再逐步入侵,加上整個入侵過程十分緩慢而且低調,所以通常很難被偵測到,看看近期的苦主:GoogleHBGaryRSA,哪一家不是掌握豐富資安技術與資源的公司,卻多還是在造成嚴重傷害後,才驚覺自己已經成為別人嘴邊的肥肉了!更何況這些已經被證實出事的單位,極可能僅僅是浮上水面的冰山一角罷了!

 

APT攻擊的流程與步驟:

 

一、鎖定目標:由於背後需要有龐大的資源撐腰,所以遭APT攻擊鎖定的目標往往有其特別含義,通常是具有高度機密性或持有大量個人資訊的單位,如國防、軍火供應商或金融業等,目前很熱門的雲端服務則被公認是未來最有潛力的受害者。

 

二、收集資訊:當目標確定之後,便開始透過各種公開或地下的管道進行資料收集。常被收集的資訊包含公開的人員與系統相關資訊,萬能的Google大神在這部份常提供了不少的幫助,地下的資訊則泛指利用各種不法手段取得的機敏資料,可能取得的有用資訊就更多采多姿了。

 

三、發動攻擊:資料收集完後,接下來便開始針對收集到的資料進行分析。就像好的廚師可以依據不同食材做出各種不同的美味料理一樣,好的任務團隊也會依據手上收集到的資料規劃出最有效的攻擊方式與路徑。

當收集到的有用資訊只有一些公開的人員資訊時,攻擊者可能會藉由發送包含加料過文件檔案的惡意電子郵件。當拜請Google大神就輕易地找到可利用主機時,攻擊者也不需要太麻煩了,直接借來用用更省事。當可利用的攻擊點越多時,攻擊者可選擇的攻擊模式自然也越多。這邊要留意的是,隨便找個野生駭客都可以直接摸掉的企業單位,資訊多已呈現半公開狀態,並不具備太高的交易價值,所以一般也較少動用到APT攻擊,會遭受到APT攻擊的單位,攻擊的難度普遍略高,能取得的有用資訊也相對較少,有時候甚至連公開的可利用資訊都難以取得,所以這時候的攻擊並不一定會由正面而來,而是由各個間接的面向慢慢地往目標匍匐前進。

 

受攻擊往例分享

 

有兩個過往的網路攻擊案例或許可幫助各位理解:

 

1.攻擊者無法取得目標單位的E-mail等帳號資訊,於是透過社交網站蒐集到在目標單位工作的人員,再伺機慢慢靠近接觸,取得對方信任後再透過寄送惡意郵件等手法,逐步滲透。(有玩過facebook這類社交網站的應該知道要找到彼此陌生的兩個人間的共通朋友,並不是太困難的事吧)

 

2.某知名網站,由於該網站資安防護體系還算完整,駭客久久無法攻破,於是轉個彎改採間接方式,研究與其介接的周邊服務,成功突破了周邊服務後再沿路慢慢打回去,最終還是成功竊取了該網站所儲存的大量機敏資訊。

 

 

 

 四、建立基地:當攻擊者成功攻下某台主機或某個帳號時,已經不會再像過去一樣採取破壞性的行為來炫耀自己的戰功,而是低調地把取得的據點當作基地,並持續地進行低調的探索行為。由於近年來資安意識逐漸深植人心,各大企業單位也多構築了縱深防禦與各種權限控管機制,駭客已經無法再像過去一樣輕輕鬆鬆就拿下許多機敏資訊。當然駭客也不可能就這樣默默地看著自己覬覦的標的流口水,要知道攻擊者的執念是很強烈的(不相信的話請回頭看看可憐的SONY),所以在APT攻擊中,攻擊者常會持續深耕所佔領的據點,在上面安裝後門與各種蒐集資訊的駭客工具,默默地搜刮各種所需的資訊,以作為進一步往下攻擊的前哨站。

 

當然啦!一定有人會問,難道防毒軟體抓不到這些駭客工具嗎?別忘了這群人都是專家,這些問題他們當然也考慮過,所以在佔領據點後,通常會先查探一下主機上佈署的防禦機制,再輔以客製化的攻擊程式(請上網Google免殺),很容易就可以成功規避防毒軟體的偵測。再者,近年來也很流行利用合法的工具來進行非法攻擊與探測行為,這類型合法掩護非法的攻擊行為,坊間的資安設備通常很難有效偵測。

五、分析資訊:攻擊者透過內部據點可以利用的資訊蒐集技術就更為靈活了,可以拿到的資訊也遠較外部公開搜索更具機敏性,比較常見的就是利用各種暴力破解或側錄工具來竊取帳號、密碼,或是透過網路芳鄰與檔案伺服器蒐集各種文件檔案。帳密資料的利用價值應該就不用多作說明了,各式的文件檔案也常是另一個重要的機敏資訊來源,網路架構圖可以幫助攻擊者了解單位內部的網路架構,更可以幫助攻擊者快速鑒別出重要資訊系統的網路位置,並定位出可行的攻擊路徑,工作說明書與交接手冊則是另一個攻擊者鎖定的文件重點,裡面常包含許多系統設定內容與特權帳號資訊(有些甚至還有密碼),這些資訊都會轉化為攻擊者的養分,讓攻擊者得以持續擴大攻擊的戰果。

 

熟練的攻擊者除了可以透過分析這些搜刮來的機敏資訊,快速找出可能的不當設定加以利用外,甚至可以分析出哪些是容易被偵測到的節點,在持續探測與攻擊時,會刻意避開這些節點以降低暴露行蹤的機率。也許大家會覺得不可思議,但過去在接觸某金融相關產業案例的時候,就曾經發現攻擊者刻意地避開該單位內部幾位高手負責的系統,專挑較稚嫩的系統人員管理的主機下手,所以也成功地在單位內部潛伏了很長一段時間而沒被發現。(當然也有其他見解認為這些高手管理的主機設定較為嚴謹,不容易攻擊成功,所以才轉而攻擊其他管理較不完善的機器。)

 

六、權限提昇:單一據點的利用價值必然有其限制,攻擊者在分析搜刮來資訊的同時,也會利用掌握的資訊逐步擴展自己的領地。有可能是水平的持續擴展,也可能是再穿透下一層的防禦,抵達更具戰略地位的系統。不過一般來說,佔領的主機一多的話被發現到異常的機率相對也較高,所以在APT攻擊中,攻擊者常常只會攻佔特定具有關鍵戰略地位的主機,而非全面性的滲透。

 

七、持續攻擊:「入侵尚未成功,駭客仍須努力」。由於近年來政府與企業單位對資安防禦的重視與強化,攻擊者在攻擊的過程中不見得會一路順遂,可能在攻擊的途中被成功偵測攔截,也可能遭遇到難以客服的技術瓶頸。這時候攻擊者除了維持既有的攻擊模式持續探索外,也可能根據前述攻擊蒐集到的資訊重新擬定不同的戰術捲土重來。

 

 

APT攻擊是一場無止境的旅程,由於網路應用的快速發展,有越來越多的交易與資訊處理都透過網路進行,所以對攻擊者而言,有價值的機敏資訊取之不盡、用之不竭,自然成為攻擊者永續經營的目標。看完了上面描述後,有沒有發現APT攻擊的行為有點似曾相識,沒錯,基本上APT攻擊完整地實踐了PDCA管理循環的概念。

 

 

MIS的逆襲-面對APT攻擊

問題來了,那該要如何偵測與防禦APT攻擊呢?老實說,目前並沒有一個比較有效的設備或資安理論可以有效偵測APT攻擊,我們能做的只有盡量提高攻擊的難度,讓駭客多做錯誤的嘗試來提升異常狀況發現的機率。底下是一些較基本的建議:

 

一、優質人力:跟這次的塑化劑風波一樣,在幾個接觸過的案例中,多是先有少數警覺性高的員工先發現了些許不嚴重的異常狀況,再持續往下追蹤,才使得整起事件曝光。除了警覺性外,員工對自身工作內容的掌握程度也是一個重要的關鍵,唯有員工對自己工作內容具備足夠的know-how與警覺意識,才能夠有較大的機會嗅出危險的異常狀況。至於要如何培養員工的警覺性,多數資安專家可能會告訴你可以透過平日的資安教育訓練來加強員工的資安意識,但實際狀況是制式的教育訓練多半淪為午休的延長,能產生多少效果令人質疑。我想,維持員工的工作品質,並對員工多點實質的鼓勵或許是最快速有效的方式吧。(相信我,每天責任制工作12個小時以上的員工即使發現異常,多半也會希望多一事不如少一事

 

察覺異常狀況後,接下來要做的就是事件追蹤了,這部份任務需要仰賴具備資安攻防專業的技術人力來執行,當然一般企業與政府單位是不會沒事雇用這類人才的,所以這部份的工作多半需要往外尋求專業資安廠商的援助;遺憾的是,雖然國內資安廠商大多具備豐富的產品專業能力,對網路攻防的實戰能力普遍十分貧乏,有足夠能力處理APT攻擊事件的廠商恐怕用手指頭就能數得出來。至於如何找到具足夠資安能力的廠商,這個就有勞IT人員們多多打聽市場上的評價了。

 

在追蹤攻擊事件的過程中,當然也需要對各系統作清查以及後續強化的動作,這部份則需要企業內各相關部門的通力合作,所以有沒有一個具足夠powersense的(高階)主管主導整個善後流程,也會一個很重要的關鍵。別忘了,你面臨的敵人是有組織的集團犯罪,不再只是年輕氣盛、單純享受入侵快感的年輕駭客,所以自然也得仰賴組織面的強化,才能夠取得足夠的資源對抗APT攻擊。

 

 

二、完善的系統管理:這邊提到的系統管理包含網路系統與資訊系統。系統在建置與規劃初期,最好就將資安的需求納入考量,避免因架構上的安全性問題,造成防禦體系的失效。更新管理也是一個重要的防禦機制,以目前看過的各單位IT環境,在Windows系統上的更新管理機制普遍做的還算不錯,但在UNIX-like系統上的更新管理機制則較為貧乏,這往往也容易成為攻擊者鎖定的目標,因此如何有效強化各種不同作業系統的更新管理機制,也是資訊管理人員要好好思考的方向。此外,系統設定與權限控管也是系統管理實務上常被忽略的部分,盡量把握權限最小化原則,並避免開放不必要的服務,將能夠有效限縮攻擊者可以展現的攻擊技巧。

 

三、資安設備的整合:許多IT人員常對資安設備抱持著不切實際的期待,希望買來的每一個資安設備,只要安裝上去就能夠達到阻擋駭客攻擊的效果;但我必須要提醒,再怎麼好的資安設備還是要有好的技術人員去維護與調校,才能發揮最大的效果。可惜的是國內的系統整合商競爭過於激烈,惡性的削價競爭連帶地,使廠商能夠提供的服務品質大打折扣,常常看到廠商在系統建置時直接用預設值或制式的腳本上線,確定網路可以連通後就結案閃人,讓資安設備原本能夠發揮的實質效益整個大打折扣。

 

  

再者,個別的資安設備都有其特定的防護領域,能夠抓到的攻擊行為多半也是明顯而高調的攻擊行為,針對隱匿性較高的APT攻擊所能夠提供的幫助也相對有限。所以IT單位也必須要加強縱深防禦的架構來延長攻擊者的戰線,並仰賴資安設備的聯防來提升偵測到異常狀況的機率。例如區隔網段,讓攻擊者無法一步到位,打穿一層就可以接觸到最敏感的資訊。資安設備的聯防就是佈署各種功能不同的防禦設備進行聯防,ExFWIPS過濾最外層的網路攻擊,WAF過濾網頁的攻擊,後端再加個DB auditing產品來過濾異常的query等。當然整個資安防護藍圖的規劃必須依據各單位實際運作架構進行客製,在這邊實在也很難提供一個一體適用的範本給各位參考。

 

四、事件分析與管理:當企業內部完整的資安防禦架構佈署完成後,並不代表資安人員就可以高枕無憂了,前面也有提到,APT攻擊行為較傳統攻擊更為低調,所以如何在每日收集到的大量資安告警中,分析出可能的攻擊行為,會是資安人員未來所要面對的首要課題。最近很熱門的SIEM系統就是一個很不錯的平台。SIEM系統除了收集設備的記錄檔外,還有事件分析的功能,以現行個資法來說,SIEM平台除了可以滿足log保存的需求外,還可以有效協助資安人員進行資安事件的分析,並提供可能的資安事件即時告警,對資安人員來說,SIEM平台簡直可以說是一個夢想中的完美逸品了。

 

但我想大家在資訊業也都待一段時間了,想也知道不可能會有這麼好康的事,SIEM平台固然好用,還是有他的問題點:

1.價格高昂:建置一套SIEM系統所費不貲,動輒百萬千萬的建置費用,加上後續的維護費用也不便宜,常讓許多企業常在聽到報價後就直接打退堂鼓了。

2.建置難度高:再者,SIEM平台建置的服務品質需求很高,必須先對企業單位內的網路架構與IT環境有充分的了解,並商討出要收集的資訊與記錄檔,還可能會遇到各家SIEM平台無法支援部分系統的記錄檔格式,而產生客製化的需求。如果遇到的廠商能力不足或服務品質不佳,都有可能會讓你的SIEM平台漏失掉關鍵的重要資訊。

3.維運人力:當一個SIEM平台建置完成後,維運的人力也是一個需要考量的成本;一般來說,7x24(hrs)的一線操作人員是最基本的需求,這對企業來說也會是一筆沈重的成本負擔。

4.事件關聯分析:要能充分發揮SIEM平台的事件分析功能,必須要依據單位的環境作許多的事件關聯分析,而如何定義這些事件關聯分析的邏輯,就有賴更高階的二線(Level 2)與三線(Level 3)人員的努力了。可惜最近就業市場上具備資安專長的技術人才供不應求,一般企業要想找到具備足夠事件分析能力的專業資安人員,恐怕不是一件容易的事。當然,如果企業IT單位的規模、預算真的無法負擔整個SIEM系統,資安監控中心(SOC)的委外代管或許是一個可以考慮的選擇。


最後,要強調的是,即便是上述建議都已經確實做到,也只能夠提高發現APT攻擊行為的機率,並無法完全阻絕攻擊的產生。由於敵暗我明的情勢加上各種反鑑識技術的普及,即便找來最頂尖的資安高手,也不見得能夠順利追蹤到攻擊的來源,有時則是好不容易追蹤出一個脈絡,卻發現只要追到位於國外的節點,就會被迫中斷而無法再往下追蹤下去。所以在APT攻擊事件中,通常我們能夠作的只是藉由事件的追蹤來評估內部損害範圍,至少先截斷攻擊者的來時路,並剿滅攻擊者現有的據點,避免惡意攻擊者一試成主顧而再三光顧。