https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

觀點

[專訪]三階段週期打造APT防護

2016 / 12 / 27
編輯部
[專訪]三階段週期打造APT防護
今天企業面對APT攻擊時,已無法再像從前面對電腦病毒、惡意網址一樣,希望透過網路安全閘道,將這些惡意威脅直接阻擋在企業網路之外;你必需假設,當這些惡意攻擊行為成功進入企業內部後,你要能找出並清除這些潛在威脅,問題是,該怎麼做?

自今年8月Blue Coat與賽門鐵克完成併購後,兩者不但在產品上互補不足,對全球攻擊情資的收集也更廣泛。因此談到對台灣本地攻擊情資的掌握,Symantec + Blue Coat亞太區技術長Matthias Yeo認為以Symantec + Blue Coat現有3,000位技術研究人員、385,000客戶,且全球總計約1億7500萬個裝置在Symantec + Blue Coat的保護下,透過此龐大的資安網路足以掌握到本地與全球的威脅情資。

以三階段理論基礎 形成完整週期的攻擊防護
面對進階攻擊威脅,Symantec + Blue Coat提出了一個具備業務流程導向,由威脅的偵測、遏阻到解決三個階段所形成的完整週期,再搭配Symantec + Blue Coat的相關產品技術,所構成的Symantec +Blue Coat Advanced Threat Protection Lifecycle Defense解決方案。

首先事件的偵測,就是在進入企業網路所設的第一道防線,也是一般我們所熟悉網路安全閘道過濾,用以偵測阻擋已知的攻擊威脅。此階段所使用的設備有Symantec+ Blue Coat Secure Web Gateway網路閘道器,還有能進行惡意程式碼掃描的Symantec + Blue Coat Content Analysis System。

接著是當有未知的攻擊進入企業內部時,就進入第二階段的攻擊遏阻。利用Malware Analysis Appliance的Symantec+ Blue Coat Content Analysis System和Security Analytics Platform,其中的沙箱檢測可針對未知的惡意程式進行自動化分析,讓未知攻擊變成已知的威脅資訊,同時將此情資回饋到第一階段的閘道安全設備上,以提昇閘道設備的防禦能力。

利用調查鑑識 掌握事件原貌
但僅僅是遏阻攻擊還不夠,企業還需要了解當惡意程式進入企業內部後,曾經執行哪些惡意活動等資訊。也就是要能掌握整個事件發生的原貌,才能徹底清除這些惡意程式在組織內活動所造成的潛在威脅。所以第三個階段就是事件的調查與補救,透過Symantec + Blue Coat Security Analytics Platform資安鑑識平台,對整起事件進行回溯性分析,以還原攻擊事件的原貌。事後的調查分析對APT的防禦很重要,因為清楚攻擊的來源與脈絡後,才能夠切斷各個入侵管道,甚至順著攻擊的路徑找出被鎖定的目標,進而加強防護,以避免日後再遭受類似的威脅。

當企業發生攻擊入侵的資安事件時,以往調查鑑識的工作,常是由資安廠商的事件應變小組人員來進行鑑識分析,然後再向客戶報告調查結果,往往曠日費時。以此次一銀ATM遭駭客盜領的事件為例,約花了1周的時間來調查整個事件的源由,然而在這段期間,媒體對相關事件的追蹤報導都對企業商譽產生負面的影響。所以最好能用最短時間調查出事故的原因,儘早對社會大眾公布結果,才能減少大家的疑慮將企業損失降到最低。

資安沒有萬靈丹
Matthias Yeo提到會導入APT解決方案的,通常是政府部門,接下來則是金融單位;前者攸關國家安全,後者則可能影響經濟的發展。他認為,APT產品導入過程中最大的挑戰在於如何與組織現有設備,及公司整體的資安策略來進行整合。

他也提醒,應把對進階攻擊威脅的防護視為企業整體資安策略的一環,而不僅僅是一種產品技術而已。Matthias Yeo強調:「沒有一種技術是萬靈丹,可以讓組織100%免於攻擊威脅」。他認為建立網路安全不只是部署一樣產品技術就行,它還包括了適當的設定、資安政策的配合與人員安全意識的提升。而資安管理者也需要在產品的導入與政策的實施中取得平衡;一方面要進行惡意威脅的管控,同時還要能兼顧維持組織的生產力。

重視環境的評估與設備的整合
每當資訊安全有新的威脅或議題出現時,資安廠商都會以其現有的產品技術為基礎,提出自己的理論邏輯來整合出一套解決方案,然後儘量將自己的產品帶入。當然依各家技術核心的重點不同而或有差異,像以網路管理為基礎的Symantec + Blue Coat就相當重視對網路流量的可視性,所以會強調對企業加密連線的管控。但無論企業採用什麼樣的解決方案,首先一定要了解敵人所在,也就是對企業所處環境先進行風險評估,接著與現有設備進行整合,這些都需要專業顧問的參與,才能做出最有效益的部署方案。