觀點

企業如何對付APT?資安人的反擊

2012 / 05 / 18
Roamer (擋住資安骨牌效應專刊,2011年.8月)
企業如何對付APT?資安人的反擊

Advanced Persistent Threat,簡稱為APT,根據維基百科的說法,APT攻擊必需滿足以下三個條件:
1. 先進(Advanced):除了傳統攻擊技術外,通常還會針對目標特性研擬不同的攻擊手法,也常會客製化專屬工具或未公開的0-day漏洞來達成它們的目的。
2. 持續(Persistent):攻擊通常是緩慢而低調的,藉由長時間的潛伏,一點一點地有效突破各階層的防禦,也讓受攻擊的目標難以察覺。
3. 威脅(Threat):由一個具組織性的攻擊團隊所發起的,這個團隊掌握豐富的資源(包含資金與技術),而且攻擊的標的也十分明確。

老實說,目前並沒有一個比較有效的設備或資安理論可以有效偵測APT攻擊,只有盡量提高攻擊的難度,讓駭客多做錯誤的嘗試來提升異常狀況發現的機率。底下是一些較基本的建議: 

優質人力 察覺異常狀況後,接下來要做的就是事件追蹤了,這部份任務需要仰賴具備資安攻防專業的技術人力來執行。在追蹤攻擊事件的過程中,當然也需要對各系統作清查以及後續強化的動作,這部份則需要企業內各相關部門的通力合作,所以有沒有一個具足夠power與sense的(高階)主管主導整個善後流程,也會一個很重要關鍵。
完善的系統管理 系統在建置與規劃初期,最好就將資安的需求納入考量,避免因架構上的安全性問題,造成防禦體系的失效。
更新管理也是一個重要的防禦機制,以目前看過的各單位IT環境,在Windows系統上的更新管理機制普遍做的還算不錯,但在UNIX-like系統上的更新管理機制則較為貧乏,這往往也容易成為攻擊者鎖定的目標。
此外,系統設定與權限控管也是系統管理實務上常被忽略的部分,盡量把握權限最小化原則,並避免開放不必要的服務,將能夠有效限縮攻擊者可以展現的攻擊技巧。
資安設備的整合 個別的資安設備都有其特定的防護領域,能夠抓到的攻擊行為多半也是明顯而高調的攻擊行為,針對隱匿性較高的APT攻擊所能夠提供的幫助也相對有限。所以IT單位也必須要加強縱深防禦的架構來延長攻擊者的戰線,並仰賴資安設備的聯防來提升偵測到異常狀況的機率。
事件分析與管理 APT攻擊行為較傳統攻擊更為低調,所以如何在每日收集到的大量資安告警中,分析出可能的攻擊行為,會是資安人員未來所要面對的首要課題。

最後,要強調的是,由於敵暗我明的情勢加上各種反鑑識技術的普及,即便找來最頂尖的資安高手,也不見得能夠順利追蹤到攻擊的來源,有時則是好不容易追蹤出一個脈絡,卻發現只要追到位於國外的節點,就會被迫中斷而無法再往下追蹤下去。所以在APT攻擊事件中,能夠作的只是藉由事件的追蹤來評估內部損害範圍,至少先截斷攻擊者的來時路,並剿滅攻擊者現有的據點,避免惡意攻擊者一試成主顧而再三光顧。