上回分享APT是什麼? APT的特色為何?,本回將分享國外具體針對APT的做法。
[務實篇] 國外針對APT做法:
一、檢視對外開啟的服務、使用最小權限原則及加密
攻擊者可能利用任一開啟的對外服務,入侵到系統內部,尤其是這些服務有漏洞的時候。另外,FTP這類未經加密的傳輸就應該禁止使用,而改採SFTP或SSH。曝露的面愈窄,可利被利用的地方就愈少,不是必須的服務均建議關閉。一般來說,愈多的程式碼,也會隨之產生愈多的漏洞。
二、確認及保護端點的安全性
端點的防護是非常重要的,因為它往往直接涉及到我們要保護的資料。我們必須要針對端點進行入侵的預防及偵測。例如,防毒軟體必須定期更新,並對主機進行掃描。當有上傳功能時,也應該對上傳的內容進行分析,防止惡意程式被上傳和執行。在端點之前,也應進行適當的保護措施,例如防火牆控管和完善的資訊架構規畫。
三、注意應用程式的安全性(含網頁及智慧型裝置)
應用程式應進行深度的安全檢測和分析(包含上線前,以及定期測試),找出攻擊者可能入侵的管道和漏洞。應用程式漏洞可造成毀滅性的傷害,例如主機控制、敏感資訊外洩、資料被竄改等等。此外,定期對有被支援的程式進行更新是至關重要的,例如Windows的安全性更新,均應該有嚴謹的規範來進行。
四、教育使用者
定期針對不同的用戶類別舉行務實的教育訓練,例如系統管理員必須設定安全性足夠的密碼、定期更換金鑰等。而一般用戶則應該注意資安規範並嚴謹遵守,例如目前金融單位要求的「社交工程演練」,即是針對用戶進行的資訊安全測試。針對電子郵件的安全性,注重安全性的組織普遍使用數位簽章(Digital ID) 與數位憑證(Digital Certificate),並對電子郵件進行預防性掃描、對用戶進行嚴格教育訓練,達到深層防禦的效果。
五、找出並保護最弱環節
在找到要保護的資產後,應利用嚴謹方式評估它們的安全性,並找出單一最弱點(single point of failure)、對它加強防護。舉例來說,若最重要的資產是客戶的個資,我們就要評估個資的資訊流程,這個流程可能包含用戶於網頁輸入資料及傳送資料、主機處理並儲存個資於資料庫、資料庫進行異地備援、用戶登入後資料由主機傳至用戶的瀏覽器等等。這整個流程都必須分析可能的資訊洩漏點,例如若資料庫含有漏洞,則它可能被攻擊者利用,造成個資被竊取,這時候我們即可以針對這樣的情境做防護,例如嚴格限制能夠存取資料庫的IP。
六、注意資安最新規範、了解最新攻擊手法。
舉例來說,NIST(國家標準技術研究所,http://csrc.nist.gov)及DHS(http://www.dhs.gov)時常發布公開文件,讓系統管理員知道最新的最佳防護做法(best security practices)。CVE(https://cve.mitre.org/)也不斷公布問題,讓系統管理員可以知道最新發布了那些漏洞、如何防範漏洞被利用。
有了基本的防護將能大幅提升攻擊者達成目的的門檻,從而降低風險和APT發生的機率。在這之後,我們將能更進一步針對每一個環節進行更深度的防禦。
普遍來說,台灣的組織較強調的是管理上的稽核(例如通過資安的管理認證),而缺乏技術上(執行面)的稽核。資安相關問題通常需要配合技術上的稽核,才能有效找出問題和強化防禦,例如弱的連線加密機制可輕易破解等。無法明確指出資安瓶頸也是台灣的組織常面臨的議題,因此透過專業資安技術顧問檢測並提供全面性的風險評估和強化建議能讓企業有效的了解目前的企業的資安狀況及脆弱環結,才能讓企業對其資安防護做有效的資源規畫及運用,同時有效防止駭客攻擊或公開漏洞。
組織必須自管理階層正視問題的存在,才可能有效解決資訊安全的問題。G. Mark Hardy是National Security Corporation的總裁,他說:「新的攻擊維度不斷增加、變快、愈來愈危險,且無所不在。」資安從來不是一個安全的狀態,而是一個不斷進化的過程。企業能做且該做的是不斷評估風險並針對評估結果加強防禦。
本文作者目前任職於光盾資訊科技資深經理一職