APT攻擊讓企業防不勝防,從近1~2年來不乏知名企業資料外洩的案例中就可看出端倪,由於APT攻擊具有針對性,傳統資安設備無法有效抵擋,因此許多廠商相繼推出阻攔APT攻擊的解決方案,技術原理多為沙箱檢測、文件比對…等,近來還有廠商提出軟體白名單的作法。
所謂軟體白名單是指,用白名單管理企業電腦裡的AP,亦即只允許已知的合法應用程式,在企業系統上運行,並用Hash值作為辨識應用程式的基礎,提出此種作法的就是美國資安公司Bit 9。該公司業務總監Kempton lzuno指出,APT攻擊經常從惡意文件開始,攻擊者將惡意程式(執行檔)包在PDF/Word/Excel等文件裡,並透過特殊標題吸引收件者開啟,這種惡意文件的Hash值和正常文件一定不同,透過Hash值比對就能避免使用者在不知情狀況下開啟惡意文件。
至於企業該如何決定哪些軟體可以進入作業環境中?代理Bit 9的數位資安總經理蘇隄指出,MIS有4種方式可以決定員工電腦能否安裝軟體,第一、信任程式開發者,只要是XX寫的軟體一律放行;第二、信任提供者來源,只要是由XX傳來的更新程式就放行;第三、信任AP類型,只要某一種類型的AP就可以過關;第四、由GSR軟體評價來決定,如評價幾分以上的軟體就能安裝。
GSR是Bit 9自建的全球軟體資料庫(Global Software Registry),搜集市場上新發行軟體及網路上的可執行檔,並列出相關資訊,包括Hash值、PE Header、軟體的發行商\憑證\規模大小\版本\語言…等資訊,據此給予0~10分不等的評價,例如Firefox的信任指數可能是10、但Keylogger就是0。另外,GSR目前也在蒐集台灣企業常用的商業軟體,希望減少軟體使用的在地化差異。
Kempton lzuno認為,軟體白名單的管理方式雖然簡單卻很有用,最大問題在於企業該如何設定Policy。通常會依據部門別而有不一樣的政策設定,因為每個部門工作內容、資料敏感度不同,軟體的管理需求也不太一樣,像財務部資料敏感,除非允許否則不能安裝執行檔,又如行銷部可能有比較多的下載需求,在政策管理上就不能這麼嚴格,以免影響作業,這些都需要一段時間觀察模擬,了解企業內的軟體安裝使用需求,才能制定出最適政策。
最後,Kempton lzuno提醒企業,在APT攻擊裡,攻擊者想要的都是Server裡的資料,雖然第一步都會從端點使用者著手,但最終目的仍舊是竊取Server資料,所以在規劃安全策略時,應該以Server為第一優先,才能降低APT攻擊的損害。