觀點

網路佈署足以防禦APT嗎?

2015 / 07 / 17
吳耿宏
網路佈署足以防禦APT嗎?

   從網路部署資安防護方案是現今最受資安人員歡迎的解決方式,最大的原因就是方便管理與建置。但是網路部署其實有著二大嚴重的關鍵問題,卻是甚少有人願意仔細去評估,若是用鴕鳥心態或是僅為方便交代的方向去建置,一定難以收到預期效果。本文將從網路建置的關鍵問題開始討論,直指現在資安事件頻傳的根本原因,討論資安防護方案的建置方向與效益。


網路部署的問題:有正確且完整的涵蓋網路的所有架構嗎?


網路部署的關鍵問題:
1.網路部署的涵蓋範圍是否足夠?
2.加密後的流量是否有備正確的分析?

閘道端的設備容易管理與建置的特性,往往受到大家的喜愛,但是網路閘道有區域性與支援哪些通訊協定的限制,未通過或支援的流量是無法分析與處理的。尤其在APT的解決方案中,一般區分為郵件、網站及其他檔案等。會有這樣子的解決方案,其實都是依照各大資安解決方案提供廠商的統計。在攻擊數量統計方面,通常利用郵件攻擊為最大宗, 網站次之,最後是其他通訊協定。但是,舉個簡單例子,如果攻擊者先入侵官方網站,再透過官方網站入侵DMZ的其他設備,最終到達重要資料存放主機。這樣的類型是APT嗎? 當然是!因為APT最大的特點在於針對性,而非惡意程式。只要能有效入侵的方式,攻擊者絕對會樂於採用。針對性的攻擊代表著統計機率不在具有任何意義,因為攻擊者會持續到100%入侵成功為止。所以從網路部署不可不仔細考慮的就是資安防護能力的涵蓋範圍。

    再者,在大量個人資訊會在網路上流通的現在,越來越多的服務透過加密的方式傳遞。您的資安設備有足夠的加、解密能力嗎? 在加密流量已經到達總流量50%的環境中,未具備解密功能的設備,代表著其中一半的流量都無法分析,僅是白白浪費設備的偵測能力。所以網路部署的關鍵問題是:有正確且完整的涵蓋網路的所有架構嗎? 

APT防護:端點是不重要的位置?


    而端點安全呢?這個長期被忽略的一個重要防護位置,難到沒有任何值得投資的效益嗎?其實正好完全相反,現今逐漸轉變成主流的行為分析或稱沙箱檢測(Sandbox),可透過分析惡意程式的活動與行為來辨識檔案為惡意或正常。假設我們可以直接在各端點中,分析出可疑或惡意的行為,直接發出警報,便可以快速的進行後續處理。例如:當任何主機遭入侵時,如要查出被入侵的時間、方式與影響範圍,便會採取事件處理或是數位鑑識等手段。而這些方式也幾乎都是在端點上進行。 

    目前主流的APT解決方案幾乎已經等價於惡意程式行為分析的功能,透過沙箱(Sandbox)模擬環境來分析。增加偵測惡意程式的功能,當然可幫助惡意程式的偵測效率,理論上可以提高防護的能力。但是,沙箱畢竟仍然是模擬出來的環境,要達到最佳的偵測效益,勢必要能夠同時模擬絕大多數的作業系統與安裝應用程式,而這樣的功能最終還是取決於採購的產品效能與規格。再加上APT所使用的惡意程式可以具備反偵測沙箱系統的能力,所以模擬出來的系統,在偵測的範圍與能力上,還是遠遠比不上透過端點程式監控所得到大規模集中管理、涵蓋範圍及平台種類的效益。

    雖然市場上已經廣為接受APT解決方案就是用來偵測惡意程式。但APT代表的是一種威脅,並不單單指惡意程式。惡意程式佔APT中很大比例的部份,不過一個成功的攻擊,絕對不是僅需要惡意程式。如果有任何的正常程式,可以滿足攻擊者的需求,攻擊者一定也會採用,畢竟正常的程式不會被防毒軟體或沙箱偵測到。因此結合各種的入侵技巧之後,讓APT的整個攻擊周期活動變成異常複雜。所以能夠同時具備行為監控與即時鑑識的端點產品將會成為未來的主要趨勢,這類型的產品也經由Gartner在2014年5月的EDR市場指引中,被明確的提出。 

內網威脅是現今最嚴重的資安問題
   
長期以來,在網路上部署資安防護是最常見,也最多人採用的方式。但是考量到攻擊型態的改變,相對之下絕大多數公司採取的仍是十幾年前的防禦機制與觀念,最終會導致如近年來新聞常見的大量個資外洩事件,其實也就不令人太過意外。

    如果從攻擊者的角度來講,僅部署閘道端的資安設備時,若未仔細考慮前文提到的關鍵問題,整個資安防禦的缺點將會更為明顯。所有的入侵一旦入侵第一台主機(請參考圖一),攻擊者成功建立灘頭堡,而接續傳送的各式檔案,很可能都是加密後的壓縮檔案。而經過加密壓縮的檔案無法被閘道端設備檢測,從此之後所有閘道端的設備通通失效。當攻擊者逐步強化鞏固其立足點之後,最終的目標就是最被覬覦的AD、資料庫或是具備價值的檔案伺服器。這種透過跳板入侵內部重要伺服器的過程,攻擊行為必然是在內部網路中秘密的進行著。考量到現今流行的防禦架構,幾乎只會在網路進、出口處建置資安防禦方案的情況下,內網往往是全無防備。因此,這個階段的所有入侵活動對於資安人員來說,幾乎與隱形無異。在這種情況下要發現任何攻擊的跡象,幾乎只能祈求運氣夠好。所以如何建置完善的防護圈,就是不可避免的首要問題。

    前面的內容討論到攻擊者的基本的入侵過程,但是導致這種攻擊程序的發生,最主要的原因正是資安防禦設施架構。現今絕大比例的攻擊活動其實都是存在於內部網路中,但是考量到成本或預算之後,最終還是只會在網路進、出口端建置資安解決方案。而端點的資安防護方案一向不獲得大多使用者的青睞,理由不外乎影響效能或是管理不便。但攻擊者的目標卻偏偏十之八九都是存滿寶貴資料的端點,正因為管理方便性而不強化端點的防禦機制,恰恰正中攻擊者的下懷。


   圖:閘到端設備難以處理已存在的內部威脅(圖片來源:中芯數據 提供)

    綜合起來,內部網路不設防,端點安全不強化,讓整個內部網路就像是絕佳的細菌培養皿。只要通過最外層的關卡,前路就一片明朗,在友善的環境中逐漸滋養茁壯,最終爆發數百萬筆資料外洩的資安事件屢見不鮮,更不提未被媒體揭露的檯面下的事件可能更是多到難以衡量。2013與2014年網路資安解決方案的主要廠商紛紛收購端點的防護方案,正代表著資安大戰的主要戰場已經悄悄的從網路轉移到端點。如何讓企業內部端點的控制權是真正屬於企業而非攻擊者,將是最為重要的目標。 
                                                             本文作者 目前任職於 中芯數據資深資安顧問