自從3月初南韓攻擊事件後,防禦APT攻擊又成為最熱門的資安議題,艾斯酷博首席資安研究員邱銘彰認為,企業應該建立一個包含觀察、偵測、與阻擋的APT防禦模型,以此模型為基礎再去檢視內部現有資安架構並補強不足之處。
所謂「觀察」指的是如何觀察APT駭客的活動,也就是收Log;「偵測」則是如何辨識APT入侵事件,也就是從Log中找出攻擊事件;至於「阻擋」則是如何阻擋APT攻擊,將與資安攻擊事件相對應的防禦規則放到資安防禦設備中。邱銘彰強調,這3個步驟是循序漸進的,但是企業經常忘了觀察與偵測的重要性,而將資源百分之百放在阻擋APT攻擊上,其實,理想方式應該是將30%的資源用來建立觀察與偵測機制,再將70%資源投入在APT阻擋機制上。
另外,邱銘彰認為,阻擋率100%也未必是件好事,他以美國基因改造玉米為例,經過基改的玉米具有較佳的抗蟲害效果,農民只要噴灑微量農藥,就能避免玉米根蟲的侵襲,但是為了防止玉米根蟲具有抗藥性,因此美國環保署規定,一塊農地上不能100%種植基改玉米,必須保留一部份面積種植非基因改造的玉米,讓玉米根蟲有生存空間、降低其產生抗藥性的機率。
同樣的道理,資安設備如果百分百阻擋掉了駭客的攻擊行為,讓駭客摸清楚資安設備的運作原理,久而久之就無法發揮預期成效了,因此,企業必須給一個空間用來觀察駭客行為,資安設備才能發揮最大效益,至於這中間的平衡點該如何拿捏,只有企業自己最清楚。