https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

【經驗分享】迎戰APT 所有人都要做好被攻擊的心理準備

2013 / 06 / 10
廖珮君
【經驗分享】迎戰APT  所有人都要做好被攻擊的心理準備

APT攻擊在近年來為盛行,包括政府、金融、製造業等都是頭號目標,政府單位擁有大量民眾個資與國家機密資料,一直以來都是駭客眼中的頭號目標,走遍各國皆是如此,包括美國白宮/司法統計局/國防部、英國國防部、伊朗石油部、日本財務省...等皆曾遭遇資安攻擊,至於金融、製造、重大基礎建設…等,同樣也是擁有大量機敏資料或個人資料的單位,自然難逃APT攻擊的魔爪。

因此,如何面對APT攻擊並做好資安防禦,是現今所有企業的重要課題,本文走訪一位曾經處理過APT攻擊的資訊長(以下將用X先生做為代號,其任職單位則簡稱Y企業),由其分享事件處理經驗及後續改善機制,希望能做為其他同樣遭遇資安威脅單位的參考。

去(2012)年,Y企業在幾台Client端電腦發現駭客入侵的痕跡,而且已經開始對外部C&C主機傳送資料,由於駭客使用新的後門程式與中繼站,導致資安設備無法即時偵測出來。因此,資訊處人員在確認受害範圍、封存部份受攻擊的個人電腦(為後續犯罪追查做準備)後,立即聯絡防毒廠商製作解毒程式,全面移除後門與側錄程式,並在一個月後,邀請相關單位討論改善措施。 

最終,Y企業訂出以下5點改善措施:
1. 資訊系統管理者和重要業務人員使用的電腦不直接連到後台資料庫。
企業某些重要業務人員因為職務關係,可以讀到所有檔案,就和資訊系統管理者一樣,都是屬於權限大、風險高的一群,但在管理上卻經常忽略這一點,如:統計、風控、稽核…等,所以組織如何管理這些人員是很重要的,Y企業的做法是比照資訊人員辦理,當你要使用資料庫中的資料時,只能透過隔離機器來存取資料,至於日常作業則使用一般PC來進行,同時強制AD管理者權限只能在AD本機上執行,且要搭配本人的實體憑證,因為AD太重要了,所以一定要嚴格管理。


2. 禁止使用網路芳鄰,避免駭客利用網芳進行橫向攻擊的風險。


3. 重新清點每一台電腦中是否含有個資檔案與機密資料。
X先生表示,這是本次改善措施中最重要的一點,因為沒有一個人能確保電腦不會被入侵,藉由清點過程刪除電腦中非業務相關的個資檔案,再將留存檔案列表並加密存放,日後再指派人員定期抽查,才能有效控管風險。


4. 重新檢視與設定防火牆policy。


5. 回收一般個人電腦的本機使用權限,由於這麼做會牽涉到作業流程調整、人力調配的問題,因此目前仍在評估中、尚未正式執行。




面對APT,X先生認為,最佳的防禦策略就是拉長戰線、增加縱深防禦機制。AP攻擊可分成3個階段:攻擊、控制、散播擴散,每個階段的防禦重點皆不相同,在攻擊階段,組織可以加強偵測及阻擋社交工程電子郵件;在控制階段,重點要放在阻擋軟體弱點被觸發、阻擋駭客自行安裝惡意程式;在散播擴散階段,則是偵測與阻擋駭客C&C連線、偵測內網中的駭客活動,若這三階段的防禦重點都能落實,就能降低駭客攻擊成功的機率。

 

1APT攻擊3階段

階段

防禦重點

第一階段:攻擊

(1)偵測及阻擋社交工程電子郵件

第二階段:控制

(2)阻擋軟體弱點被觸發

(3)阻擋駭客自行安裝惡意程式

第三階段:散播擴散

(4)偵測與阻擋駭客C&C連線

(5)偵測內網中的駭客活動

                                         

 

最後,從這次攻擊中X先生體認到一個重點,資安不是慿單一部門的努力就可以解決的,每位主管與同仁皆須有「被入侵是無法避免」的認知與準備,IT人員在努力架起資安防禦網的同時,也要將資安作為融入日常工作習慣,經常性實質查核以提高同仁警覺,一旦察覺資安事件就要立即通報、避免擴散,在事件發生當下就要讓高階管理者知道事件的嚴重性及可能風險,當然,高階管理者不應只是一味責怪,畢竟資安風險都不可能百分百消除,而應多多給予IT人員鼓勵與支持,才能讓資安這條路不孤單。


 

相關文章列表:

【事前準備】面對APT,除了買產品你還能做的許多事
【解決方案-1】網路入口偵測 建立APT威脅的第一道防線
【解決方案-2】網路出口擋C&C連線 內網監控避免擴散
【解決方案-3】APT因應重點 做好主機監控稽核及早發現可疑異常