資安3.0:萬物皆聯網,APT威脅防護新視角
【2014年10月28日】 近年來包括4G、雲服務、智慧行動、及物聯網、Big Data等新世代IT應用的快速發展,「資訊聯網」已經深植在人類環境中,在工作上人們必須連結企業網路系統,在生活中則有不同的網路服務提供人們。從全球範圍來看,APT 攻擊呈現明顯上升趨勢,台灣已經成為亞太區遭受APT攻擊次數前三名的國家,同時在全球194個殭屍網路中,台灣也高居第四名。因此,許多資安專家不斷呼籲新一代資安防護的重要性,而APT攻擊威脅絕對是新世代IT所必需審慎面對的課題。
萬物皆聯網,危機四處藏
近年來包括4G、雲服務、智慧行動、及物聯網、Big Data等新世代IT應用的快速發展,人們的生活越來越趨近於未來世界,其中所大量倚賴的便是「資訊聯網」。 猶記得當年的熱門科幻電影: ID4 ,人類發現外星人是透過聯網方式操控大量的智能無人戰機,其結局是由主角們偽裝進入外人母艦,並透過系統連結時將研發的電腦病毒注入母艦系統,再透過聯網將病毒擴散,瞬間癱瘓掉原本牢不可破的外星人攻防系統。 事實上,類似的情節已經在真實的世界中發生,近來所發生的多起APT攻擊事件都是類似的腳本。 由於「資訊聯網」已經深植在人類環境中,在工作上人們必須連結企業網路系統,在生活中則有不同的網路服務提供人們。 因此,許多資安專家不斷呼籲新一代資安防護的重要性,而APT攻擊威脅絕對是新世代IT所必需審慎面對的課題。
千變萬化、無孔不入的駭客APT威脅
對於現今諸位IT決策管理者來說,APT攻擊威脅是非常棘手的資安問題,我們可以用「手法難以察覺、傷害難以估算」來形容,在近2年來APT攻擊威脅事件已經成為新一代資安的首要重點。 由於現今駭客著眼於網路犯罪所能獲取更有價值的地下經濟效益,因此從國家政府機構到一般企業及組織都可以是受駭的目標,不論是哪個產業領域或是規模大小。
以今年初全美第二大零售業者Target的資料外洩事件為例,超過1.1億筆客戶資料遭APT攻擊方式盜取,Target因而償付予客戶高達數百萬美元也導致股價應聲大跌,商譽受損並被迫關掉至少8間店面,其前董事長兼執行長Gregg Steinhafel亦因此下台。
另外以2011年RSA公司的事件來說,RSA絕對是全球頂尖的資安公司,其SecureID動態密碼產生器的技術更是廣為使用,也因為APT攻擊手法而被竊取相關的技術資料,同樣的造成RSA公司的商業損失及信譽傷害,但更令人擔憂的是採用RSA密碼技術的客戶將曝露在駭客威脅中。
這些事件或許是資料外洩的結果,但其中的過程與手段是一連串難以完美的「信任鏈風暴」,根據Websense公司對於2013年所防範的超過41億次攻擊事件分析發現,幾乎所有的攻擊手法都展示各種繞過傳統的防護措施及入侵系統的技術,並能夠從受感染的網路中持續擷取資料; 攻擊犯罪者竊取資料並非完全為了金錢為獲利目的,也包括受委託摧毀或削弱對手公司競爭優勢的目的,或是為了下一個目標所設局。 在思科2014年中安全報告也指出,組織中「脆弱環節(weak links)」的存在,包括過時的軟體、錯誤的設定、未正確處理的數位資產、以及電腦用戶的疏失,都將會導致動態安全威脅不斷攀升,攻擊者可以利用DNS查詢方式、漏洞攻擊包、惡意程式、加密協定滲透、社交工程、釣魚郵件等各式手法考驗組織IT的脆弱性。
攻其不備的目標攻擊模式
從全球範圍來看,APT 攻擊呈現明顯上升趨勢,2013年針對性攻擊的數量較前一年增長了91%,攻擊持續的時間是過去的三倍,而台灣已經成為亞太區遭受APT攻擊次數前三名的國家,同時在全球194個殭屍網路中,台灣也高居第四名。 由於APT攻擊行為多數是採取「隱性」的手法,往往是針對最基礎常用、信任度高,及無法快速反應的部分著手,也造成許多IT管理者錯誤評估APT防禦策略及風險嚴重度。 我們可以從以下幾個層面分析:
1.通道
在2012-2013年的攻擊型態統計報告顯示,HTTP、HTTPS、及DNS等為三大主要被利用的攻擊媒介通訊,這些通訊都具有以下特色: 各項聯網必需、接觸面廣、容易變造; 事實上,駭客所策劃的APT攻擊方式中很巧妙的利用HTTP、HTTPS、及DNS通訊來達到接觸目標及達成目的,包括惡意程式的傳遞、控制指令的派送、擷取資料的取得等等; 但在合法掩飾非法及點滴式傳輸的效果下,傳統的資安系統及IT監控方式往往很難正確識別與發揮效果。 例如APT攻擊所植入的惡意程式及殭屍網路,多數採取DNS方式與駭客中繼站(C&C,Command & Control)動態取得聯繫位址,或是利用DNS發動DDoS攻擊。
2.系統
APT攻擊常利用各項系統的弱點,針對目標設計客製化的攻擊方式。 其中,Microsoft系統是全球企業組織使用率最高的IT環境,包括個人電腦、服務主機、及應用系統,但是發生在Microsoft系統的資安漏洞與風險也一直企業IT管理所困擾。 而Microsoft Active Directory(簡稱AD)環境則是企業IT尤其必須關心的重點,由於Microsoft AD主機在企業中扮演非常重要的服務要角,多數具有帳號權限、網路核心服務(DNS/DHCP)、及其他各項服務功能,但是安裝服務越多相對也提升該系統主機的弱點風險,一旦Microsoft AD系統遭受APT攻擊則對於企業內部IT營運也勢必造成極大的影響,。
3.對象
APT攻擊更著重於有效的目標對象,而不像電腦病毒的無差別攻擊方式。 其中企業高階主管的助理、中階主管、公關及具有特殊權限管理者是最易受攻擊的目標,網路罪犯者會把他們當做跳板來鎖定並攻擊名人或企業高階主管這樣的目標,進而取得最大權限及深入接觸到企業最核心的系統與資料區。
4.心態
多數企業仍以沿用舊有的資安概念與防護投資來面對APT攻擊威脅,其實在既有的資安系統強化功能所能獲得的效益已經非常有限了,近十年來的傳統資安系統設計著重於單點的安全偵測與防禦技術,換言之是規格與效能的提升。 事實上,駭客更熟知這些偵測技術與防禦方式,APT攻擊反向利用企業IT人員對於傳統資安系統的信任來達陣。 根據FireEye的研究,企業在已部署資安設備的狀況下,仍有超過67%不知道已被植入惡意程式或木馬,平均潛伏期間可長達229天。
從食安風暴看資安事件
近來國內深受油品食安問題而受到極大的傷害,撇除人為因素外,造成事件風暴的主因可歸於供應信任鍊的問題,相信多數的廠家及消費使用者是基於對「認證」的信任而直接或間接受害,「認證」可能是一套制度、系統、或儀器,在長年不變的情況讓有心人士得以鑽法規避,其實這非常值得目前的資安借鏡,尤其在網路犯罪朝向獲取經濟利益的方向,IT決策管理者更是必須正視APT攻擊威脅。
有鑑於此達友科技將於2014年11月7日與Infoblox、Websense 攜手舉辦「資安3.0 — IT經理人看資安趨勢 APT威脅防護新視角」研討會,邀請各位IT經理人一同撥冗參與,透過此次活動,我們將為身為企業高層的您剖析最新資安威脅,並透過實例分享來了解資安威脅對於企業營運帶來的衝擊、讓您提早為2015做準備。更多活動訊息,請洽活動專線 02-2658-8970 分機 808 邱小姐。
關於達友科技
達友科技 Docutek Solutions, Inc. 為大中華地區的專業資訊科技產品代理及加值服務提供廠商,提供內網安控解決方案專業銷售、技術支援與顧問服務。 面對企業的資訊安全管理藍圖,達友科技著重提供企業兼俱彈性開放與安全防護的『內網安控』解決方案相關產品及專業加值服務。協助企業內部網路得到應有的以及妥善安全的管控,將資訊安全治理作最極致的延伸,使組織、企業用戶的網路環境能在穩定的狀態下安全無虞的順暢運行。
為了服務大中華兩岸地區企業客戶,達友科技目前在臺北市及上海市皆設立有辦公地點,為歐美等各國多家國際級領導廠商的重要指定合作夥伴。藉由與國際主要領導品牌的結盟,同時結合本地經銷商的合作,以及加上本身的專業技術與支援服務,希望透過專業認證技術銷售團隊的合作與支援,為最終客戶提供專業加值整合與顧問服務。 如暸解更多有關達友科技代理產品訊息,請瀏覽http://www.docutek.com.tw。