網路攻擊防禦新趨勢 分析AP、使用者與內容

NGFW在辨識應用程式時，如果遇到不認識的AP，原因可能有2種：一是企業客製化AP，二是駭客所設計的攻擊程式，而後者很可能會演變成APT攻擊。從現今受駭案例來分析，APT攻擊通常可分為4個程序：

1.      引誘使用者：找出使用者有興趣的資訊，並製作出魚叉式釣魚郵件。舉例來說，假若攻擊者發現攻擊目標喜歡高爾夫，他將會寄送一份與之相關的PDF文件或網址連結；

2.      暗藏漏洞／弱點：這份PDF文件或網址通常含有一個未知弱點，當使用者開啟文件或網址時，攻擊者就能獲得使用者電腦的內部連線；

3.      下載後門程式：一旦內部連線建立起來，攻擊者將會下載後門程式至使用者電腦中，這個後門程式讓遠端中繼站享有存取資料的權利；

4.      建立祕密通道：後門程式持續探索使用者電腦並竊取機敏資料，並開啟一個相反連結，將資料傳到攻擊者的外部機器上。

綜觀APT攻擊之所以能夠成功，主要原因有兩點：第一是客製化設計釣魚郵件，駭客透過各種管道接觸使用者（如：mail、把惡意程式包在AP裡），並設計出仿真度極高的釣魚郵件，讓使用者不疑有他地開啟惡意文件或連結，第二則是默默建立惡意連線、竊取資料，而不會大張旗鼓，使得資安設備或管理人員難以察覺。

目前來看，APT攻擊比較可行的防禦方式是分析惡意程式行為，因為釣魚郵件乃是客製化設計，收件者通常很難分辨真偽，但是當使用者電腦被安裝惡意程式，可能會自動產生遠端控制連線，這是不符合邏輯的行為，因此NGFW需要針對看不懂的流量做分析，如此才能真正避開風險。

藍博彥建議使用沙盒技術(sand box)，透過沙盒模擬惡意程式的執行結果，換言之，當NGFW遇到看不懂的網路流量（或AP）時，應將其送到Sand Box觀察，看看該程式被執行後會做些什麼事，據此判斷是否為惡意程式，若為惡意程式就立即產生特徵碼並回報給資安設備，如此也能讓檢測資料庫更完整。

總結來說，因應新的網路攻擊趨勢，防火牆功能也要有所轉變，至少要具備以下幾點特性：第一、可視性與控制能力，可以看得懂AP在做些什麼，知道這些流量因什麼而來？哪些是被允許的？第二、具備整合威脅預防功能，包括IPS威脅偵測阻擋、反惡意程式下載、URL過濾、及內容分析。從AP、User、到Content都要能識別，並透過比對已知惡意檔案、沙箱模擬程式執行結果、特徵碼產生器、被允許的網站入口…等技術，有效抵擋未來可能的目標式攻擊惡意程式。