零時差攻擊偵測 APT防禦關鍵第一步
- DIGITIMES企劃
-
進階持續性滲透攻擊(Advanced Persistent Threat;APT),已經成為目前的網路安全與防護的焦點之一。FireEye台灣總經理馬勝彰指出,由於APT的滲透非常容易,所以任何的資安防禦,一定要做到很有效才有意義。
ATP滲透有多容易?馬勝彰以某公司人資部門的運作為例指出,當人事部門陳經理直接打開任何收到的求職信,即使公司裝有防火牆等防禦措施,通常只要一打開信件中的附件,駭客高手仍可透過附件中的惡意程式,控制陳經理的電腦,被駭客高手所控制,如果信件被轉寄,任何打開信件的人所使用的電腦,一樣也會被控制。
值得注意的是,新型態的惡意攻擊,從開始滲透到把資料帶走,可能只需要幾分鐘,最長也只需要幾天。馬勝彰指出,目前每2分鐘就有惡意程式的攻擊正在發生,遍及206個國家,APT家族多達159個,影響產業遍及各行各業,而被攻擊的國家中,日本及南韓為亞太區的前2名,平均每打開3封郵件,就會出現成功的攻擊。
台灣被攻擊的次數雖然名列亞太區第3大,但台灣發現的APT家族種類數量卻僅次於日本,高達第2名。2013年亞太區APT相關惡意程式家族排行,依序為GhostRat、Darkcomet、Heartbeat、Bumat、LV、Kaba、Houdini、SpyNet、XtremeRat及9002。
馬勝彰指出,原因在於惡意程式工具包隨手可得,這些工具包不但價格便宜,甚至還有售後服務,任何稍微有點電腦基礎的人,都有可能成為駭客,也因此讓APT防禦變得更加具有挑戰性。
想要防禦APT,勢必得了解APT的攻擊方式。馬勝彰指出,APT攻擊會分為多個階段流程,第一階段為利用程式漏洞建立PC端點後門,第二階段建立控制連線,第三階段下載惡意程式本體,第四階段將資料打包外送。
第一階段是最容易發現的階段,之後因為所有的動作只是在拷貝複製機敏資料,而不是損毀或當機,所以並不容易察覺。
馬勝彰認為,零時差攻擊偵測是防禦APT的關鍵第一步,但調查發現,只有三分之一的企業,有能力自行發現資料是否被竊取,而且利用受信任的網站進行的「水坑式攻擊」愈來愈多,讓許多受信任的網站,反而容易成為感染的來源,也顯示各行各業必須對於未來可能面臨的資安威脅,要有更多的準備。
以2013年亞太區APT攻擊的行業為例,金融服務業及中央政府(包含軍方)各占14%,高科技產業緊追在後,達13%,前三名加總就已經將近50%,其他容易被攻擊的產業包括化工製造礦產(12%)、服務加值供應商(9%)、高等教育機構(9%)、電信公司(8%)等。
馬勝彰指出,傳統的資安設備,由於主要的技術是採用特徵碼來比對,對抗已知的攻擊是有效的,但APT攻擊的特色,就是會針對攻擊對象變型,而且會從各種不同的管道進行攻擊,加上是採取針對性目標,所以同時攻擊的APT還可能不只一種,而且以竊取為目的方式,更讓以防禦破壞為主的傳統資安設備不易察覺。
因此,有效防範APT攻擊的策略,馬勝彰認為必須同時考慮三者:針對未知攻擊的偵測引擎、威脅情資共享聯防、企業內部資安設備整合聯防。由於靜態分析、特徵碼的解決方案無法有效偵測,必須使用動態、不需要特徵碼的行為分析技術,才能針對未知攻擊進行防護。
馬勝彰指出,一定要設法在駭客竊取資料得手前攔截,因此要在不同的攻擊階段(電子郵件進入、網頁下載惡意程式本體、後門程式透過網路回撥、竊取資料、內部擴散)進行防堵,而且要能在線上阻擋,而不是僅有告警,才能提供完整防護。
如電子郵件防護機制要部署於防垃圾郵件後方,上網行為防護機制要能及時阻擋惡意程式下載以及後門程式回撥,資料中心則要有能力清查企業內部檔案伺服器的現存惡意程式,並能夠進行中央控管及關聯分析,以即時掌握威脅情資。
綜上所述,馬勝彰表示,要防禦未知惡意程式攻擊,要選擇不需特徵碼即可偵測並阻擋零時差攻擊及針對性攻擊的動態分析技術,唯有如此,才能做到即時防護,阻擋資料外洩。
