APT攻擊是近來最熱門的資安話題之一,不僅使用者關注如何才能防禦APT攻擊,資安市場上也在過去1~2年來推出相對應的解決方案,不過許多資安專家都建議,防禦APT攻擊應該從Log分析開始。
由於APT攻擊通常會潛伏一段時間才會開始行動(如:竊取資料),企業與其為了防禦APT攻擊而採購新的資安解決方案,不如培養內部Log分析人才,從Log中找出資料外洩前、駭客為了佔據內部電腦所留下來的蛛絲馬絲,倘若有不足之處再透過APT解決方案來補強。
資安專家Steven指出,今(2013)年5月底發生的政府電子公文系統被入侵事件,就是從Log中看出端倪,雖然在駭客植入惡意程式的當下,並沒有發現異常,但是當惡意程式開始對外傳送資料時,資料傳輸量大於平常水準,從Log中就可以看出這種異常。
而在前不久舉辦的HIT駭客年會上,中華電信研究所助理研究員游啟勝也表示,從Log中可以看出的資訊像是:
(1) 透過郵件伺服器Log找出潛在受害者;
(2) 透過DNS伺服器Log找出潛在受害者,舉例來說,IT人員可以追查Domail name的註冊者/更新頻率/記錄留存時間(TTL; Time to live)/IP更換頻率(不應該太頻繁);
(3) 從Proxy、AP或檔案伺服器檢查有沒有HeartBeat連線;
(4) 從辦公室內的PC可以找出,發出連線Threat或丟出惡意程式的電腦。
另外,游啟勝提醒企業在進行大量Log處理與分析,有幾個值得注意的點,像是:(1)套用軟體節省分析時間、(2)依照Log種類與嚴重程度進行組織的應用客製過濾、(3)針對重要的Log進行即時過濾與通知…等,惟有如此,才能發揮透過Log即早預警資安攻擊的效用。