端點安全迎戰APT式攻擊之黃金戰略法則
- DIGITIMES企劃
-
2013年企業資安關鍵字,防護專家絕對無異議通過「APT式攻擊」是現今攻擊的趨勢。F-Secure亞洲區病毒威脅實驗室訊息安全技術顧問吳樹謙應翔偉資安科技之邀來台,在演講的過程中以台灣常見病毒、資安漏洞與如何避免遭受惡意軟體攻擊、並列出台灣各城市遭受攻擊名次等議題,做詳細的介紹,由此可知台灣目前遭受惡意軟體侵害的嚴重,吳樹謙也以實驗室的角度提供建議強調防駭應該從個人做起,不應只有企業重視,才不會造成企業與個人財務上或信用上的傷害。
吳樹謙表示,當今的駭客是以商業或政治目的的網路犯罪,經年累月蟄伏觀察,等待致命一擊,一旦入侵取得目標資料後,不會就此縮手會持續滲透取得更多機密資料,因此必須知道駭客慣用的APT(A:進階、P:持續性、T:威脅)突襲手法,以達到知己知彼避免無謂的損失,駭客手法不外乎是:經由網路惡意程式感染(下載驅動程式?E-mail附件?檔案共享?非授權軟體?釣魚?DNS中毒)、經由實體物件感染(USB?CD ROM?DVD?記憶卡)和外部攻擊(專業入侵?漏洞攻擊)等。
根據芬安全監測到實際在台灣發生過的E-mail釣魚案例中,發現有許多惡意軟體,偽裝你的好朋友轉寄?分享信件,信件內容為某重要計畫或熱門話題(例如:最新消息:消失的馬航班機找到了!),信件中提供連結網址引誘收信者下載並進行解壓縮,當下無任何異狀,但惡意程式卻默默地建立許多檔案、修改系統登錄檔、與駭客網站連線,駭客可利用該惡意程式進行帳密側錄、資料盜用、詐騙…等,用戶小則金錢損失、大則成為駭客幫兇進行網路攻擊。
2014台灣資安大事
由於兩岸局勢緊張,台灣成為駭客鎖定的攻擊目標,且排名全球遭受攻擊次數前四名;吳樹謙強調,芬安全實驗室除了對全球進行病毒監測外,對於台灣各地病毒攻擊情況,皆有完整掌握,以台灣現今最活躍的病毒為Downadup?Conflicker,其最令人匪夷所思的是該病毒早在2008年就被發現,且微軟和許多防毒軟體早已都防堵起來,但在台灣仍名列第一。
第二名風暴蠕蟲(Trojan Peed)會感染各種執行檔(.exe),惡意程式也會自我打包寄給使用者電腦內通訊錄名單,吳樹謙表示,更嚴重的後遺症是台灣因此淪為殭屍網路王國第二名,因為風暴蠕蟲會在使用者電腦中開啟後門,讓受感染的電腦成為駭客控制的殭屍電腦。
第三名的MicroFake,是偽裝成防毒軟體,除了無法提供任何的資安防禦外,甚至會側錄用戶個人資料。至於第四名的Sality則早在2003年就有,一樣經由殭屍網路,發送垃圾郵件、DDoS攻擊、Proxy Communication、安裝Rootkit等行為。
吳樹謙強調依據城市來排名,台灣最常受到電腦病毒攻擊前五名依序為台北(71.7%)、台中(6.6%)、桃園(6.5%)、新竹(5.1%)、高雄(4.4%),台北因為擁有最多的中小企業與消費者,因此感染機率最高,而台中與新竹最常見的則是以針對性攻擊居多。
分析這些古董病毒之所以能橫行台灣,其最大的原因莫過於台灣仍有大量電腦使用Windows XP以下的作業系統,且未隨時進行漏洞更新,通常是因為使用非官方正式授權XP系統或應用程式限制導致OS無法升級,而遭受病毒與駭客攻擊。
當微軟從2014年4月8日起停止支援Windows XP,潛在危險與日俱增。企業唯有倚靠具有行為式分析技術的端點安全軟體,才能在Windows XP難以立即升級須沿用的狀況下化險為夷。
此外在行動裝置部分,許多熱門App也被駭客鎖定,推出內含惡意程式的山寨版App,誘使用戶下載安裝,安裝後用戶一舉一動都受駭客監控,除了你的行蹤外洩,甚至會盜賣你的機敏資料,或利用行動裝置進行比特幣挖掘,所以在下載App時除了從官方管道下載外,在安裝前務必注意應用程式所需權限,有時陷阱就在應用程式權限內,唯有做好行動安全管理工作,不僅是保障自己的資訊安全,同時也能夠避免因為自己的疏失導致朋友受駭。
防不勝防 強化資安觀念更重要
由於系統漏洞與外掛所造成的威脅,有可能很久後才被發現,如2014年4月底微軟IE 6?11版本爆出嚴重Bug,可能造成記憶體毀損並讓駭客有機可乘,成功利用該漏洞的駭客可自遠端執行任意程式,造成繼Heartbleed後第二波的資安恐慌。
芬安全提供企業具有6道引擎的資安防護,並由實驗室提供即時線上防毒雲端資料庫之更新,無時無刻不斷新增最新病毒特徵;但單靠病毒特徵比對已無法阻攔新型態未知病毒,因此芬安全以第6層防護「DeepGuard深藍技術」嚴守把關,針對應用程式的行為模式偵測,為用戶阻擋未知型態的新式病毒。
吳樹謙提醒台灣企業,在古董電腦病毒的威脅下,必須要2至3年以上才能排除。以外,亦需防範其它新型態的威脅,例如Adobe Flash、Reader和Java(Plugin)漏洞,吳樹謙亦從實驗室的角度,為企業提出7點自保之道,幫助企業守護資安。
1. 多重防護手法:除了有基礎防毒防駭,芬安全在端點安全防護除了具備「ORSP信譽評等」外,並以「DeepGuard深藍技術」藉由行為式模式偵測,幫助用戶攔阻未知新型病毒。
2. 外圍進行防禦:例如在郵件伺服器設置E-mail Gateway增加安全檢查;防火牆、主機入侵防禦系統(HIPS)。
3. 慎選企業端點軟體:選擇具有優秀行為式分析以及強而有力的資料庫數據分析之安全軟體,而不是選擇擁有多功能型的系統工具。
4. 隨時保持漏洞修補更新,別再讓古董病毒肆虐。
5. 不斷的監測網路異常行為:定下規範,定時監測比對不正常狀態。
6. 強化使用者權限;存取重要伺服器時,應明確規範每個使用者行為不該濫權。
7. 漸進式資安軟硬體升級:漸進式的淘汰老舊設備與系統,確保軟體的安全性降低古董病毒受駭風險。
若對某網址或程式有疑慮,亦可上傳至芬安全實驗室進行分析,以防範於未然;上傳網址:https://analysis.f-secure.com/portal/login.html。
