觀點

抵擋APT攻擊 建立可視化工具是基礎

2013 / 04 / 22
廖珮君
抵擋APT攻擊  建立可視化工具是基礎

APT攻擊案例越來越多,企業資安的挑戰也隨之增加,趨勢科技技術總監戴燊表示,企業面對APT攻擊時,經常陷入「只要強化現有機制就夠了」的迷思,其實,從攻擊模式來看,企業在建構APT防禦策略時,應該要思考的是以下5個問題:
1. 是否可以偵測與阻擋社交工程郵件?
2. 是否可以阻擋軟體弱點被觸發?
3. 是否可以阻擋惡意程式的自動安裝?
4. 是否可以偵測與阻擋駭客的C&C連線?
5. 是否可以偵測在內網中的駭客活動?

另外,APT攻擊往往是默默進行的,這些惡意流量並不容易被偵測,而且駭客會利用各種技巧來隱藏惡意流量,例如:變換通訊位址或重新導向、利用一些正當的應用程式和網站當作橋樑,甚至在受害者的網路內部架設幕後操縱伺服器。根據Verizon 2012年研究指出,將近50% 的案件中,駭客都是使用後門與幕後操縱通訊機制。

因此,趨勢科技台灣區總經理洪偉淦認為,企業面對APT攻擊,最重要的是建置可視化工具,隨時偵測與分析是否有可疑郵件、惡意程式或惡意流量,才能將資安攻擊的損害降到最低。以趨勢來說,這些可視化工具包括社交郵件閘道(Mail Gateway)、網路封包側錄工具、惡意程式/攻擊分析平台,另外,趨勢還成立APT事件處理小組(Incident Response Team, IR Team),提供事前偵測、事中處理與事後評估的服務。

洪偉淦強調,這是一套針對使用者量身打造的客製化防禦策略(CDS),而客製化指的就是將原本放在資安廠商雲端平台的分析技術挪到使用者端進行,幫助企業掌握內部攻擊的相關資訊,如:有哪些是惡意IP、有哪些惡意檔案或惡意程式、社交工程郵件的攻擊行為…等,讓企業可以將這些資訊套用到相對應的資安設備上,例如經過惡意程式分析後,找出C&C伺服器的位址,就可以丟到防火牆的黑名單中,禁止由內到外部C&C伺服器的連線。

至於IR服務,基於人力考量,目前服務對象以採用CDS硬體設備的企業為主,換句話說,企業若要採用IR服務必須先導入上述3項可視化工具,也就是社交郵件閘道(Mail Gateway)、網路封包側錄工具、惡意程式/攻擊分析平台,未來可能會與Partner合作,由Partner蒐集與過濾從可視化工具來的資料,再交由趨勢IR人員做鑑識分析,藉此提昇IR服務能量。