APT攻擊頻傳 客製化防禦策略日漸重要

趨勢科技資深技術顧問 黃源慶

進階持續性滲透攻擊(Advanced Persistent Threat；APT)近年來事件頻傳，已經引起各界高度重視，值得注意的是，駭客的攻擊對象已經開始從過去以政府單位為主，轉而開始攻擊企業。趨勢科技資深技術顧問黃源慶指出，最近已經有不少企業遭遇目標攻擊或網路詐騙，損失金額從幾千美元到幾十萬美元之間，受害企業不但遍及各種產業，更重要的是，即使是中小企業也難以倖免。

黃源慶指出，駭客的能力與技術與日俱進，即使是技職體系，都可能出現相當厲害的駭客。中小企業缺乏資訊人員，許多資訊系統也都委外處理，遭遇APT時往往會不知所措，因此平日就得小心在意，學習如何面對各種資安威脅。

一般而言，政府單位比較容易碰到網路軍隊，企業則是比較容易碰到商業間諜駭客或駭客組織。黃源慶指出，商業間諜駭客的犯案手法，針對鎖定對象多半都有固定模式，如針對金融單位，主要是設法取得客戶資料，再透過盜刷等手法取得不法利益。

商業駭客攻擊事件，可說是遍及海內外。如南韓320事件，就有南韓多家媒體與金融業約48,000台電腦與伺服器受到APT攻擊，影響所及，不僅銀行、媒體的業務運行中斷，受感染機器上的資料也無法回復，損失難以估計。

而隨著愈來愈多的企業導入BYOD(Bring Your Own Device)，這些手持智慧裝置，也已經成為APT攻擊非常喜歡鎖定的對象。黃源慶表示，APT攻擊的形式其實非常多樣，可以透過各種工具達成，BYOD因為使用範圍非常大，很容易形成資安漏洞，讓駭客有機可乘，也就成為商業駭客鎖定的對象。

如很多人拿到手機或平板後，喜歡執行的Root或JB，就可能造成資安漏洞。黃源慶指出，不管是Root或JB都需要修改工具，這些工具其實都是利用類似駭客的手法，讓使用者取得使用權限，但由於並非所有修改工具都是安全的，如果使用者自行安裝，等於是自己將相關威脅直接放到自己的裝置上，如同自廢武功，引狼入室。

但就算企業或個人積極管理，不會在行動裝置上安裝來源不明的軟體，也不代表就可高枕無憂。黃源慶指出，甚至有駭客會利用偽造的Google Play網站，讓使用者不知不覺安裝駭客軟體，可見針對BYOD的資安威脅，可說是層出不窮。

此外，趨勢科技在今年四月發現，國內有駭客組織假冒健保局發送信件給中小企業的負責人、人資或財務部門，相關人員不察，就會點選信件連結，打開Word檔案，電腦就因此中毒了，也導致超過一萬多筆中小企業個資外洩。

但台灣雖然早在十幾年前就遭遇駭客攻擊，APT攻擊最近更是盛況空前，但黃源慶指出，台灣各界不管是政府或企業，作為都不夠，防禦能力都不夠強。如夾帶附件的社交工程電子郵件，是APT最主要的攻擊方式，比例超過90%以上，而且發信單位常常會冒充政府單位或資訊部門，用戶可說是防不勝防。

為了對抗APT，黃源慶建議企業要建立APT防禦概念，如提高社交防禦的門檻，加強威脅事件的偵測與感知，強化鑑識的回應與清除，鑑識成果還可作為社交防禦門檻進一步的設計參考。

如針對惡意社交郵件，必須先進行偵測及攔阻，再即時分析惡意程式，並找出可利用資訊，用來偵測網路可疑行為，找出受害電腦，並阻斷惡意的連線行為，最後清除利用其他方式進入或早已存在的惡意程式，以建立APT縱深防禦策略架構。

綜上所述，駭客的攻擊模式，可說是變化萬千，企業如果只是被動的防禦，擋得了一時，擋不了一世。黃源慶認為，企業一旦碰到APT，其實應該尋求資安事件調查(Incident Response：IR)團隊的協助，找出導致資安事件發生的相關資訊，如發生什麼事情、造成什麼影響損害、受害範圍及駭客的行為模式，甚至進一步分析攻擊的時間長短、來源及如何擴散等資訊，並做好資安健診，包括主機、網路封包及網路架構安全性的檢視，才能有效防止APT造成企業資安事故的發生。