提高憂患意識 方能降低APT得逞機率

全美第二大零售業者Target慘遭APT攻擊，綜觀整個事件始末，蘊含諸多發人深省的教材。來源：Thsaerie.org

放眼全球，台灣的處境堪稱奧妙，幾乎可謂舉世最為特殊的進階持續性滲透攻擊(APT)戰場，早在世人尚未聽聞APT名詞的2002年，便頻頻遭受此類攻擊，迄今甚至成為特定網軍的練兵場。顯見台灣企業機構面臨嚴峻考驗，必須嚴陣以待。

時序進入2014年，有幾件令人怵目驚心的資安事件，不禁凸顯APT攻擊之可怕。

第一樁大事，其實發生在2013年底，但其驚悚程度，至今依然讓人印象深刻，也屢屢成為各個資訊安全研討會的經典教材。全美第二大零售業者Target，驚爆美國史上最大宗資料外洩事故，超過1.1億筆客戶資料慘遭駭客盜取，影響所及，其因而償付予客戶高達數百萬美元，此一巨大損失也導致股價應聲大跌，商譽隨之受損，被迫關掉至少8間店面，其前董事長兼執行長Gregg Steinhafel，亦因此下台一鞠躬。

近幾年間，隨著巨量資料(Big Data)話題火熱，Target靠著精準分析，締造了「比父親更早知道女兒懷孕」的傳奇故事，一時之間被廣為流傳，甚至喻為Big Data應用典範，原本讓人深覺此企業極具前瞻視野，營運前景不容看淡，惟如今過往事蹟已鮮少為人稱頌，取而代之的，竟是資安防護不力、罔顧顧客權益的醜陋形象，著實教人不勝唏噓。

另一樁事件，苦主的知名度未若Target響亮，但案件的驚悚程度，卻是有過之而無不及！一家名為Code Spaces的程式碼代管網站，在2014年6月遭受了駭客精心籌劃的大規模分散式阻斷服務(DDoS)攻擊，此一攻擊型態，相較於諸多「神不知、鬼不覺」的APT，看來不那麼難纏，理應可以應付無虞，殊不知此事只是前菜，早已鎖定Code Spaces的駭客，居然在同一時間，還取得了該公司在亞馬遜AWS EC2雲端運算服務控制台的存取憑證。

Code Spaces一夕垮台  震撼資安業界

自認勝券在握的駭客，於是獅子大開口，向Code Spaces提出鉅額勒索；此時Code Spaces仍想負隅頑抗，遂嘗試以變更EC2密碼的方式，意圖粉碎駭客的陰謀。然而經過雙方12小時的激戰，證實駭客確實技高一籌，憑藉著已經得手的存取憑證，決定給予對方致命一擊，大刀一揮，舉凡AWS EBS快照、AWS S3的儲存內容、Amazon虛擬機的鏡像檔，全遭徹底刪除，終至灰飛煙滅，甚至連異地備份也幾乎消除殆盡。

事已至此，Code Spaces苦心建立的事業基盤，可謂一夕瓦解，營運活動幾至無以為繼，寫下了因駭客攻擊而吹起熄燈號的首例。

其實惡意攻擊事件斑斑可考，絕不僅止於上述兩例，包括2013年Adobe遭駭客攻擊，導致290萬名客戶資料及部分產品程式碼被竊；2013年紐約時報遭駭客盜取重要資料與公司密碼；2012年中東國家因感染Flame病毒，導致機密資料遭駭客蒐集並逐步外流；2011年伊朗、蘇丹、敘利亞及古巴遭受Duqu攻擊，以致數位憑證遭竊；2011年資安公司RSA竟被駭客入侵得逞，造成SecurID失竊，而駭客於隔月就憑著得手的SecurID金鑰，成功潛入軍火製造商洛克希德馬丁(Lockheed Martin)網路，恣意竊取機密資料。

在這些事件之前，2010年時伊朗曾遭受Stuxnet蠕蟲攻擊，以致核電廠控制器淪為駭客禁臠，因而影響核能設施運作，險些釀成巨大災厄。

看到這裡，或許有些企業，自忖僅是中小型機構，並非赫赫有名的顯著目標，駭客理應看不上眼，暗自慶幸不會慘遭毒手；也有些企業，自承已經備妥了防毒、防火牆、垃圾郵件過濾、入侵防禦系統(IPS)、資料外洩防護(DLP)、網頁應用程式防火牆(WAF)、資料庫稽核等一干資安盾牌，足以抵擋駭客進犯，還不解問道，這些遭駭的企業或政府組織，為何不像自己勤於佈建防禦工事？

莫以為你有APT豁免權

事實上，如果有企業因為前述兩個理由，就認定自己可以安然無恙，鐵定大錯特錯！根據某資安廠商在2013年所做的調查，8成企業機構受到APT攻擊仍渾然不覺，其中更有高達逾7成的受駭單位，被形容像是癌末病人一般，已經讓惡意程式在內部大肆擴散，這些單位除了有政府機構，以及坐擁油水電等關鍵基礎設施的業者外，中小企業也赫然榜上有名，尤其是承包政府專案的業者，更是駭客覬覦之標的。

別的不說，許多人並不陌生的惡意簡訊，譬如「您好，您的汽機車有交通罰單逾期未繳納，查一查自己有無莫名其妙被照相或罰款的紀錄，查詢下載：http://goo.gl/eqhxtD」，即包藏了頗為惡毒的勒索軟體，並從2014年起大舉肆虐台灣，此雖非典型APT攻擊，但卻意謂你我身邊已環繞著大量惡意網站、惡意軟體，稍有不慎便會中招，絕不會因為你的服務單位毫不起眼，就可倖免於難。

另外，企業若以為擁有防火牆、次世代防火牆、入侵防禦系統、防毒軟體，抑或植基於關鍵字阻擋的防護系統，就能逼使駭客知難而退，也未免太過樂觀。

此乃由於，這些看似強勁的盾牌，其實各有各的盲點，如同防火牆，係透過網路控制抵禦惡意攻擊，但面對來自允許網路位置的惡意程式，只會任由通行無阻，起不了作用；如同IPS，防禦手段構築於網路規則之上，無法偵測到需要檔案分析的惡意程式；接著以防毒軟體而論，顯而易見的，其僅可防護已知攻擊，根本無從偵測未知惡意程式，而迄至今日，人們幾乎未聞「已知」APT攻擊，足見處在APT從未知變已知的空窗期，防毒軟體根本束手無策。

值得一提的，本文一開始提及的Target，不但絕非疏於防護，而且甚至稱得上資安模範生，仍難免百密中顯露一疏，釀成無可收拾的禍患。

Target究竟是怎麼一回事？該公司為了避免遭受APT，早先已斥資160萬美元引進知名防禦方案，建立了業界認定最為有效的沙箱模擬機制，並於印度設置一組安全團隊，負責監控Target的資訊安全，而包括原廠FireEye及印度安全團隊，事實上也相當盡責，已將蒐集的告警訊息，轉送予Target位在美國的安全監控中心(SOC)。

然而，這些可疑的惡意活動，畢竟僅佔每週所有網路活動紀錄的極小比例，這也意謂著，絕大多數網路流量並無異常，久而久之，Target的SOC團隊逐漸失去戒心，未能立即處理可疑癥兆，錯失了可提前遏止APT入侵的良機，殊為可惜。

另有業界人士解讀，Target遭駭事件，看似起因於輕忽可疑警訊，但未必真是如此。據悉，Target SOC當中一名備受倚賴的經理人，在事發前離職，後續接手的負責人員，似乎未具同等技術能力，遂在APT駭客攻防中落居下風。

也有專家分析，現今駭客泰半狡猾至極，很懂得規避攻擊目標既有的安全機制，因此若欲從一片矇矓晦暗的微量跡象中，探索駭客行跡，就必須善盡事件的檢測與分析，不能只把心力擺在警報的調查，舉例來說，每當有警報發生，重點並非追查其攻擊過程，而應探究這個警報對系統造成何等影響，包括IP位址做了哪些妥協，或是網路系統是否因而產生變化，但要想還原這些真相，不僅需要蒐集齊全的流量模式、系統設定與歷史紀錄等詳細資訊，亦需仰賴專業技術人員費神判讀；很顯然的，Target SOC團隊要嘛選擇捨難求易、避重就輕，要嘛即是缺乏足夠技能，以致遭駭客長驅直入。

一個曾被誇讚的資安優等生，做了看似完備的防禦工事，仍難免掛一漏萬，甚至隱隱顯露專業技術上的缺失，則多數台灣企業機構的資安整備度相對不足，又難以配置龐大專業人力，專門負責看管網路流量，因此盱衡一切條件，可知這些單位的防護實力，肯定遜於Target，既然如此，又怎能在敵人環伺下安枕無憂？

先撇開系統建置不談，至少，企業之中除了IT管理者外，下至基層員工、上至高階主管，個個都務先養成正確的防護觀念，不使用高危軟體，不造訪高危網站，不忽視系統更新事宜，先站穩趨吉避凶的第一步。