電信結合資安業者 為企業搭起APT防禦捷徑

透過中華電信的APT防護服務，企業僅需歷經5步驟，便可快速阻斷APT攻勢。來源：中華電信

進階持續性滲透攻擊(APT)現已躍為最熱門的資安議題，其之所以可怕，在於攻擊手法有別於以往駭客單打獨鬥模式，乃是透過縝密的計畫及潛伏滲透式的攻擊活動，進而滲透重要主機取得進一步的資訊，受駭者直至機敏資料遭竊，都還渾然不覺。

探究APT一詞，最早是出現於美國政府官方解密的報告當中，意指一群具有規模、且有組織的駭客團隊，所造成的網路安全威脅。

這群有組織的駭客，藉由電子郵件、網頁等企業無法封閉的管道，入侵企業主機並長期潛伏在企業網路中，運用各式各樣難以捉摸的攻擊手法，致令企業的寶貴數位資產，一點一滴遭受破壞。綜觀這些攻擊手段，包括了將惡意連結或零時差漏洞，潛藏在企業經常往來使用的Office、PDF等文件類型中；發展客製化攻擊工具，巧妙逃避防毒軟體偵測；或是結合社交工程，在電子郵件植入惡意程式。

綜觀APT攻擊過程，通常是由駭客鎖定特定目標，接著蒐集該組織的人員及系統資訊，長時間地滲透入侵，伺機竊取企業機密資料；而最令人膽戰心驚的是，許多企業自始至終，都完全不知其已遭受駭客攻擊。

黑暗首爾事件  凸顯APT之可怕

自2013年開始，陸續傳出許多知名企業、甚至是國家政府單位，遭受APT攻擊，其中最令人為之震驚的事件，無疑就是2013年3月20日爆發的「黑暗首爾」(DarkSeoul)，其為南韓史上最大規模的駭客攻擊！在這黑暗的一天，有多家銀行、保險公司及電視台遭駭，其中新韓銀行甚至透過官網公告服務中斷訊息，並向廣大用戶致歉。

總結來說，黑暗首爾事件，造成了多達32,000台電腦主機遭駭停擺，共計有3家銀行、2家保險公司受駭，釀成網路銀行當機、ATM停止運作等慘劇，此外還有3家電視台遭殃，共計有逾千台員工電腦的硬碟毀損，致使內部作業隨之延宕甚或停頓；更嚴重的，1家電信公司成為此事件的最大苦主，被迫關閉對外網路服務，後續足足整整耗費一週時間才告復原。

業者分析，台灣企業看待黑暗首爾事件，反應出憂喜參半情結，憂慮者認為，台灣處境與南韓類似，長期遭到特定網軍部隊鎖定，但台灣企業或機關的資安防護實力，不見得優於南韓，倘若遭遇類似攻擊，災情只怕更為慘烈；但也不乏樂觀者認為，如果以國與國相處關係而論，台灣所面對的形勢，無疑比南韓和緩許多，因此出現這種國家層級重大APT事件的機會，其實不會很高。

而在事發過後，南韓政府提出相關調查報告，指稱北韓至少為此事策劃長達8個月，成功潛入南韓金融機構多達1,500次，意在部署惡意攻擊程式，而此次攻擊路徑涵蓋了南韓25地點、海外24地點，諸多地點與北韓過往發動攻擊所用之位址相同；此外，駭客植入的惡意程式共計76項，惟大多是負責監控與入侵任務，真正具有嚴重殺傷力，則是其中的9項。

上述結論，看在資安意識相對不足的人士眼裡，頓時鬆了一口大氣，只因為如此險峻的攻擊事件，看來唯有政府級別的網軍可以辦到，除此之外，技藝如此高超、手段如此殘酷的駭客，其實並沒有那麼多，無需自己嚇自己。

駭客工具助陣  發動APT攻擊非難事

然而真實情況，並非如此讓人安枕無憂。2014年的5月，美國聯邦調查局FBI開始大舉掃蕩「黑影」(BlackShades)駭客集團，因為此一集團長期利用地下論壇販售惡意軟體，而且索價不算高，所以即使是技術水平一般的人，只要付出40~100美元，便可取得BlackShades這套網路犯罪工具，繼而搖身一變成為APT駭客，遠端控制特定目標對象的電腦，並入侵受駭者的電子郵件、Web或即時通訊。

經由BlackShades案例，其實隱含了一個很可怕的事實，今時今日，有心人士意欲取得駭客工具，實在太容易，可以輕輕鬆鬆展開網路犯罪，因此任何企業機構皆應抱持憂患意識，認定「APT駭客就在你我身邊」，並做好長期抗戰的準備。

由於APT攻擊結合了許多常見的攻擊手法，譬如社交工程、零時差漏洞等，同時又具有潛伏性的特質，不會在第一時間影響客戶業務運作，讓傷害往往像滾雪球般一發不可收拾；但持平而論，企業若僅想憑藉當前市面上的資安防護軟硬體，意圖防範APT攻擊，難度相當之高。

中華電偕同安全廠商  祭出APT防護服務

要想找到足以強力對抗APT攻擊的工具，竟是如此不易；就算有，往往也需耗費可觀金錢購得授權，並動員一干好手來實施導入，甚至需要專業顧問隨侍在側，負責解析工具所產生的Log，以研判當下是否有APT入侵，並研擬相對應解決之道。看到這裡，想必不少用戶為之氣餒神傷，難道資源不足、技能不足的企業機構，遇到APT也只能認了？果真沒有使用操作門檻低、且深具成本效益的防護方案？

有鑑於多數客戶頻頻尋覓最有效的APT攻擊防護解決方案，中華電信遂決定以自身的雲端運算技術及網路優勢資源為基底，繼而與知名APT防護廠商合作，攜手推出「進階持續性滲透攻擊防護服務」，以期協助企業防禦APT攻擊，順勢卸下纏繞已久的隱患。

探究此一服務，係於ISP機房端架設APT防護分析管理平台，並於客戶端安裝偵測裝置，藉以偵測客戶流量之中，是否有APT的異常行為與郵件中的惡意檔案，再將偵測結果回傳至後端平台，進行巨量資料(Big Data)運算分析，據以快速有效找出潛藏的APT攻擊。一經證實客戶確已遭受APT攻擊，中華電信即會將結果通知用戶端偵測裝置，阻止客戶再度連線到有害網站，刪除郵件中的有害內容，同時利用電子郵件或簡訊進行通知，讓客戶知道自己已遭入侵，藉此避免機敏資料失竊。

APT攻擊經常利用社交工程手法進行入侵，譬如寄送具有誘因的電子郵件，誘惑員工點擊來植入攻擊程式、架設惡意網站引誘員工瀏覽而中毒等，因此要防範APT攻擊，企業除需架設資安防護設備外，更需避免員工因好奇誤點網站連結或開啟惡意郵件而遭植入惡意程式。為此，中華電信提供多種資安加值服務，一併協助客戶強化APT防護。

綜觀一系列資安服務，首先即是「電子郵件社交工程演練服務」，其可模擬駭客的社交工程攻擊行為，將測試郵件寄送給企業員工進行測試，並統計員工點擊的頻率，以提供業主參考，並配合教育訓練來強化企業員工對惡意郵件的警覺性，進而降低員工受駭機率。

其次是「企業上網內容過濾服務」，於ISP機房端阻絕企業員工瀏覽有害的惡意或釣魚網站，並可限制員工使用點對點傳輸(P2P)、通訊軟體等，以降低遭受攻擊的風險。

最後則是「HiNet動態密碼鎖(OTP)」，可提供員工帳號雙因子認證機制，除了企業內的帳號密碼認證機制外，輔以一次性有效的動態密碼，以利於提升身分認證安全強度，即便使用者帳號及密碼被竊，駭客也無法輕易取得系統內部資料。