[專訪]三階段週期打造APT防護

2016 / 12 / 27

編輯部

今天企業面對APT攻擊時，已無法再像從前面對電腦病毒、惡意網址一樣，希望透過網路安全閘道，將這些惡意威脅直接阻擋在企業網路之外；你必需假設，當這些惡意攻擊行為成功進入企業內部後，你要能找出並清除這些潛在威脅，問題是，該怎麼做？

自今年8月Blue Coat與賽門鐵克完成併購後，兩者不但在產品上互補不足，對全球攻擊情資的收集也更廣泛。因此談到對台灣本地攻擊情資的掌握，Symantec + Blue Coat亞太區技術長Matthias Yeo認為以Symantec + Blue Coat現有3,000位技術研究人員、385,000客戶，且全球總計約1億7500萬個裝置在Symantec + Blue Coat的保護下，透過此龐大的資安網路足以掌握到本地與全球的威脅情資。

以三階段理論基礎形成完整週期的攻擊防護
面對進階攻擊威脅，Symantec + Blue Coat提出了一個具備業務流程導向，由威脅的偵測、遏阻到解決三個階段所形成的完整週期，再搭配Symantec + Blue Coat的相關產品技術，所構成的Symantec +Blue Coat Advanced Threat Protection Lifecycle Defense解決方案。

首先事件的偵測，就是在進入企業網路所設的第一道防線，也是一般我們所熟悉網路安全閘道過濾，用以偵測阻擋已知的攻擊威脅。此階段所使用的設備有Symantec+ Blue Coat Secure Web Gateway網路閘道器，還有能進行惡意程式碼掃描的Symantec + Blue Coat Content Analysis System。

接著是當有未知的攻擊進入企業內部時，就進入第二階段的攻擊遏阻。利用Malware Analysis Appliance的Symantec+ Blue Coat Content Analysis System和Security Analytics Platform，其中的沙箱檢測可針對未知的惡意程式進行自動化分析，讓未知攻擊變成已知的威脅資訊，同時將此情資回饋到第一階段的閘道安全設備上，以提昇閘道設備的防禦能力。

利用調查鑑識掌握事件原貌
但僅僅是遏阻攻擊還不夠，企業還需要了解當惡意程式進入企業內部後，曾經執行哪些惡意活動等資訊。也就是要能掌握整個事件發生的原貌，才能徹底清除這些惡意程式在組織內活動所造成的潛在威脅。所以第三個階段就是事件的調查與補救，透過Symantec + Blue Coat Security Analytics Platform資安鑑識平台，對整起事件進行回溯性分析，以還原攻擊事件的原貌。事後的調查分析對APT的防禦很重要，因為清楚攻擊的來源與脈絡後，才能夠切斷各個入侵管道，甚至順著攻擊的路徑找出被鎖定的目標，進而加強防護，以避免日後再遭受類似的威脅。

當企業發生攻擊入侵的資安事件時，以往調查鑑識的工作，常是由資安廠商的事件應變小組人員來進行鑑識分析，然後再向客戶報告調查結果，往往曠日費時。以此次一銀ATM遭駭客盜領的事件為例，約花了1周的時間來調查整個事件的源由，然而在這段期間，媒體對相關事件的追蹤報導都對企業商譽產生負面的影響。所以最好能用最短時間調查出事故的原因，儘早對社會大眾公布結果，才能減少大家的疑慮將企業損失降到最低。

資安沒有萬靈丹
Matthias Yeo提到會導入APT解決方案的，通常是政府部門，接下來則是金融單位；前者攸關國家安全，後者則可能影響經濟的發展。他認為，APT產品導入過程中最大的挑戰在於如何與組織現有設備，及公司整體的資安策略來進行整合。

他也提醒，應把對進階攻擊威脅的防護視為企業整體資安策略的一環，而不僅僅是一種產品技術而已。Matthias Yeo強調：「沒有一種技術是萬靈丹，可以讓組織100%免於攻擊威脅」。他認為建立網路安全不只是部署一樣產品技術就行，它還包括了適當的設定、資安政策的配合與人員安全意識的提升。而資安管理者也需要在產品的導入與政策的實施中取得平衡；一方面要進行惡意威脅的管控，同時還要能兼顧維持組織的生產力。

重視環境的評估與設備的整合
每當資訊安全有新的威脅或議題出現時，資安廠商都會以其現有的產品技術為基礎，提出自己的理論邏輯來整合出一套解決方案，然後儘量將自己的產品帶入。當然依各家技術核心的重點不同而或有差異，像以網路管理為基礎的Symantec + Blue Coat就相當重視對網路流量的可視性，所以會強調對企業加密連線的管控。但無論企業採用什麼樣的解決方案，首先一定要了解敵人所在，也就是對企業所處環境先進行風險評估，接著與現有設備進行整合，這些都需要專業顧問的參與，才能做出最有效益的部署方案。