2012-12-27

用客製化防禦對付APT

用客製化防禦對付APT


過去企業最關注的資安威脅,往往是全球病毒爆發事件,但從2011年起,焦點則轉向進階持續性滲透攻擊(Advanced Persistent Threat,APT),因為就連資安把關嚴密的大型企業,都能被APT突穿防線而渾然不知,顯見此類攻擊確實可怕,難怪舉世為之震驚。

APT是客製化的目標式攻擊,處心積慮就是要透滲攻擊目標,所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線,早已深諳閃避之道,也擅長運用社交工程郵件以假亂真,讓員工在不疑有他的情況下,淪為駭客的禁臠,企業那怕做再多宣導與訓練,終將防不勝防。

企業如何因應APT?第一步即是調整心態,先假設自己已遭攻擊,然後一方面積極提高被攻擊的門檻,避免持續遭到滲透,二方面設法早期發現、儘速處理。針對「發現」與「處理」,企業亦應有所體認,面對客製化攻擊,唯有運用客製化防禦才能順利反制,莫再倚賴一體適用的工具,只因這些工具根本無效;此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立,方可做到客製化的防禦。

要滿足上述目標,少不得需要工具輔助。所以近年來,奠基於沙箱模擬分析技術的APT解決方案,一一現身於市場,以協助用戶揪出惡意檔案,並據此求助防毒軟體廠商,儘速清理禍害。這類方案確實擁有一定價值,但亦存在若干盲點。 沙箱模擬是必要的分析工具,但單靠此一技術難以抑止實際攻擊。首先,高達九成APT攻擊,皆以社交工程郵件為先遣部隊,企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部,以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。

其次,APT惡意程式運作行為複雜,其特徵與型態明顯超出傳統防毒軟體的認知範圍,所以未必能有效以傳統解藥清除。

所以企業想要對付APT,須特別注意另外兩道重要防線。一是閘道端的社交工程郵件攔截機制,先將大多數APT先遣部隊拒於企業門外,縱使有少數矇混過關,亦可縮小打擊面,大幅減輕後續處理負擔;另一則是引進「事件處理(Incident Response ,IR)」工具及顧問服務,由精通於資安威脅的外部專才從旁指點,幫助企業分析並發掘深層潛伏的威脅,將埋伏在各個端點的暗樁,悉數加以剷除。

總括來說,完整的APT防線,必須涵蓋社交工程郵件閘道攔截、模擬分析、網路監測、惡意程式清除等必要工具,並結合IR顧問服務的奧援,方能將受害機率降到最低;愈能一舉提供完整工具與服務的廠商,自然愈值得用戶託以重任。

作者:現任趨勢科技台灣暨香港區總經理
轉載自《網管人》

沒有留言:

張貼留言