https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

APT防禦有解法 主攻社交工程惡意郵件

2012 / 01 / 16
吳依恂
APT防禦有解法  主攻社交工程惡意郵件


前陣子以來的APT攻擊話題,讓企業風聲鶴唳,目前都在尋求相關的解決方案。根據資安專家們的剖析與研究,已找出主流的攻擊模式。大部分的攻擊方法雖然很老套,卻很有效-透過電子郵件進行社交工程攻擊,寄送惡意文件。

目前針對這類攻擊,有一些解決方案可供企業參考。例如行政院體系可運用的資源-HoneyBEAR,為ICST內部開發系統,可用做分析惡意郵件。安資捷則是推出社交工程的演練系統,屬於提高資安意識的自動化演練系統。根據了解,近來亦有國外的APT防禦大廠也將進駐台灣市場,市場可說是相當活絡。

另外像是趨勢科技也推出APT防禦服務,趨勢科技大型企業業務協理楊肇謙說,服務的四大步驟主要是偵測、分析、攔阻跟清除,透過靜態分析引擎偵測,再將樣本送到沙箱(sandbox)分析,並將惡意分析結果提供給客戶,可調整其他資安網路設備,再製作成特徵碼,佈署到每個客戶端。他強調,無論是已知或未知的惡意程式,偵測引擎都是透過分析惡意程式「植入的行為」來找出威脅來源,他強調,過去的智慧型防毒掃描,主要是強調對病毒變種行為的偵測,例如加殼、壓縮等,APT攻擊行為的偵測,則是針對「利用文件弱點嵌入惡意程式」的行為,看惡意程式如何製作、更改格式及架構來判斷是否為惡意文件。

艾斯酷博(Xecure Lab) 則採取另外一種防禦架構,將過濾與分析功能分開,首席資安研究員邱銘彰提到,目前提供的In-Line mode是將過濾設備放在mail server之前,該公司考慮到sandbox可能會影響到效能,便在進入mail gateway前就進行惡意郵件的阻擋,他認為此種架構不需考量到mail server廠牌,較有效率且性價比相對高。

對於一般的惡意郵件和APT攻擊郵件,其實企業真的很難分辨。根據各供應廠商目前實際測試的結果,台灣受到APT攻擊比例並不低。楊肇謙說,例如在政府單位,院級單位1個月約會有150封惡意攻擊郵件,部會級則大約是1天1封,不過,與一般垃圾郵件不同的是,APT攻擊的郵件威脅性不在多,而是針對性,因此數量倒不是決定性關鍵,準確性才是。