面對APT威脅　企業要有作戰準備

Xecure-Lab首席資安研究員 吳明蔚博士

面對各種資安威脅，中央研究院資訊創新研究中心Xecure-Lab首席資安研究員吳明蔚博士指出，最早由美國空軍提出的「進階持續性滲透攻擊(Advanced Persistent Threat；APT)」，由於基本上是一個新名詞、舊問題，因此很多企業常常掉以輕心，以致於相關資安事件不斷出現，成為企業在迎接雲端時代的同時，必須要正視的問題。

吳明蔚指出，APT的特色就是威脅時間會持續很長的一段時間，這次不成功，下次會再來，只要攻進了，就會鎖定。而且攻擊方式會不斷的進階，網軍甚至會先做好組織的滲透，了解組織的弱點，用比較先進的武器攻擊，真的就是陰魂不散。

APT資安事件不但層出不窮，而且還會與時俱進。吳明蔚表示，在2010年之前，最常見到的資安攻擊方式，就是大規模病毒散佈，中毒的電腦甚至高達幾億台，但這種攻擊其實並沒有鎖定特定對象。

但以Stuxnet這個可透過已感染的USB等可卸除式裝置進入電腦的蠕蟲型惡意程式為例，卻是鎖定伊朗等特定國家進行攻擊，而且Stuxnet還會先偷走數位簽章，而且不會讓流量亂跳，讓Windows不容易偵測到異常狀況，防禦相當困難，吳明蔚認為這種APT根本就已經是一種軍事行動。

此外，結合資訊戰，也讓APT已經變成惡意商業競爭行為。如從2009年中到2010年1月的「極光行動」，包括Google及數十家美國公司就遭到攻擊；從2009年中到2011年2月的「夜龍行動」，則是攻擊美國各大能源企業，吳明蔚認為其中明顯有人為操作。

APT的攻擊方式非常多樣，如在「極光行動」是先將信件送進電腦內部，「夜龍行動」則是從外部一層層攻擊。如果企業網站沒有漏洞，無法從外部一層層攻擊，就會改用寄信到內部員工，只要有一個員工疏忽，就會擴散出去。

吳明蔚指出，在這些行動中，駭客明顯做過組織研究，如信件只會寄給兩群人，以避免被察覺。而且剛開始中毒的員工權限不高，但病毒會自動慢慢滲透，以得到更高權限，最後甚至有資安業者受害，讓駭客拿到更高的安全資訊，造成美國國防層級相當高的業者也被攻陷。

APT結合社交工程，來攻擊一般民間企業的事件，也已相當常見，如SONY PSN有7,700萬個外資外洩；南韓也發生3,500萬筆個人資料遭竊的事件，顯示駭客對個資的興趣也不小。

吳明蔚指出，駭客一旦取得個資，就可能夠營造出符合使用者個人認知的情境，如使用者參加過研討會後，駭客才會緊接著寄中獎信，讓使用者以為是真的，而點選信件連結造成中毒。

事實上，龐大的資料量等於生產力與利潤，尤其在美國的單一企業，擁有1000個TB(Petabytes)容量資量，已是成百上千，更是駭客下手的目標。

此外，結合地下經濟的操作，也讓APT的威脅變得更加嚴重，如美國花旗銀行在2011年6月發生36萬用戶信用卡遭竊，光是花旗銀行就損失新台幣8,000萬元，，還不包括36萬用戶被盜刷的損失。

因此，吳明蔚強調，要對抗惡勢力，一定要受訓練、準備好。面對APT，第一步就必須偵測到，只要沒有阻絕，接下來就會是一場災難，企業甚至應該要學習駭客技術，不能只是防守，而是要了解如何攻擊，有鑑於APT的攻擊事件一再發生，吳明蔚指出，敵暗我明，企業一定要謹慎從事，才能防患於未然。