自從Google極光行動、針對西門子工控系統的Stuxnet木馬、RSA SecurID遭竊、Lockheed Martin被入侵…等事件以來,進階持續性威脅(Advanced Persistent Threat, APT)就像個陰魂不散的網路惡鬼,成為企業最頭痛的資安威脅。
趨勢科技技術總監戴燊表示,常見APT攻擊手法有二種,一是透過SQL injection資料隱碼攻擊,突破外部伺服器弱點,進入企業內網;另一則是寄送惡意郵件,駭客利用社交工程手法,將惡意郵件偽冒成電信業者電子帳單、政府信函、色情郵件、資安廠商的病毒解決通知信…等,再寄送到特定目標信箱,等到攻擊目標開啟郵件附檔(或惡意連結),駭客就能長驅直入到企業IT核心,竊取所需要的資料。
由於第2種方式成功率高、又比較不費力,使得惡意郵件成為最常見的APT攻擊手法,這些惡意程式(或惡意連結)並沒有標準的行為模式,有些只是竊取郵件或聯絡人資料,有些則會自動設定郵件轉寄,以便駭客持續搜集重要人士的郵件;倘若是針對Webmail的APT攻擊,還有可能竊取使用者的Cookie或帳號密碼。
因此,對抗APT攻擊,企業必須加強偵測、過濾及攔阻惡意郵件,以及建立黑名單阻攔機制,阻擋C&C IP / Domain Name的連線,更重要的是做好社交工程演練,建立員工的危機意識,避免誤入社交工程陷阱,然而弔詭的是,APT攻擊對象多為高層主管或是IT管理者,然而高層主管往往沒有時間接受教育訓練,而IT管理者則是不認為自己會成為APT的目標,讓駭客有機可乘。
趨勢科技台灣暨香港區總經理洪偉淦強調,APT攻擊的防禦方式,和傳統防毒防駭作法不同,因為APT是低調、默默地在企業內部竊取資料,因此要阻擋APT的最好方式,就是增加威脅能見度,企業必須掌握3個W:攻擊方式(what)、何時開始攻擊(when)、將資料丟到哪裡(where),才能有效作好防禦。