<2014亞太資安論壇展後報導>企業APT防禦策略——建構多層次防護

2014 / 05 / 12

張維君

進階持續威脅APT是今(2014)年熱門議題，面對防不勝防的APT攻擊，趨勢科技分析APT攻擊手法與特性，提出客製化防禦系統解決方案—－從偵測、分析、阻擋到清除。

APT第一步，駭客會針對攻擊目標蒐集情報，而後撰寫社交工程郵件發起攻擊，之後便潛伏在受害系統中，一點一滴獲取重要資訊並往外回傳。因此趨勢科技技術顧問吳宗霖指出，企業的APT防禦策略就是要有多層次防護：
第一道防線是Email不要收到惡意郵件：透過趨勢科技Email靜態引擎，可根據Email附件分析來過濾掉惡意郵件，而不完全只靠沙箱。因為一來駭客會規避掉沙箱，二來為了效能，沙箱不可能一直開啟。

第二道防線是網路行為分析系統：透過多重引擎與行為判斷規則進行偵測，在第二層的沙箱收到情資後，可分享給防毒軟體在用戶端或閘道端做第二次清除，同時透過Sensor可進一步清查內網已中暗樁的電腦。

第三道防線是對重要主機做監控偵測：許多APT攻擊都是為了竊取檔案，而企業的重要檔案會放在檔案伺服器，因此需要在重點主機上做異動監控。先進行第一次盤點做好checksum，之後可以每天或每周依企業需求設定再定期盤點，以便知道有哪些可疑的異動或新增行為。

除了上述三道防線做偵測，解決方案還應自動分析產出報表，並能即時監控、阻擋可疑行為，以及能清除暗樁電腦。

面對市場上琳琅滿目的APT解決方案，企業應如何評選？吳宗霖指出，若企業懷疑自己中了APT，例如HR部門收到一份履歷表但是此人根本沒去應徵，或者業務單位收到訂單，但連絡資料是假的，這時可以合理懷疑是否中了APT攻擊。趨勢科技的解決方案會先透過Sensor來清查盤點企業哪些主機有出現攻擊行為，若有查出也會去側錄用戶端，是否有哪支程式開始有與外部連線的phone home行動，緊接著予以提供解藥。相較於其他廠商APT解決方案，儘管可以查出有問題，但多半無法直接替企業解決，受害企業需要再去尋求防毒軟體廠商協助，才能徹底清除。

若與閘道端APT解決方案相比，有些強調可以阻擋與C&C伺服器的連線，但吳宗霖表示，許多攻擊是會先去攻打一般中小企業主機來做誘餌，或者駭客直接去Amazon租用AWS來做為C&C主機，因此C&C變化多端，防禦APT攻擊，不能只靠沙箱或單一技術來防護。透過多層次防護才是企業面對APT攻擊該有的防禦策略。

APT 進階持續威脅