資安 3.0:萬物皆聯網,APT 威脅防護新視角

作者 | 發布日期 2014 年 11 月 01 日 23:50 | 分類 資訊安全
5339417410_fb2c9ef141_z

近年來包括 4G、雲服務、智慧行動、及物聯網、Big Data 等新世代 IT 應用的快速發展,「資訊聯網」已經深植在人類環境中,在工作上人們必須連結企業網路系統,在生活中則有不同的網路服務提供人們。從全球範圍來看,進階持續性滲透攻擊(Advanced Persistent Threat,APT)呈現明顯上升趨勢,台灣已經成為亞太區遭受 APT 攻擊次數前三名的國家,同時在全球 194 個殭屍網路中,台灣也高居第四名。因此,許多資安專家不斷呼籲新一代資安防護的重要性,而 APT 攻擊威脅絕對是新世代 IT 所必須審慎面對的課題。




萬物皆聯網,危機四處藏

近年來包括 4G、雲服務、智慧行動、物聯網、Big Data 等新世代 IT 應用的快速發展,人們的生活越來越趨近於未來世界,其中所大量倚賴的便是「資訊聯網」。 猶記得當年的熱門科幻電影「ID4 」,人類發現外星人是透過聯網方式操控大量的智慧無人戰機,其結局是由主角們偽裝進入外人母艦,並透過系統連結時將研發的電腦病毒注入母艦系統,再透過聯網將病毒擴散,瞬間癱瘓掉原本牢不可破的外星人攻防系統。 事實上,類似的情節已經在真實的世界中發生,近來所發生的多起 APT 攻擊事件都是類似的腳本。 由於「資訊聯網」已經深植在人類環境中,在工作上人們必須連結企業網路系統,在生活中則有不同的網路服務提供人們。 因此,許多資安專家不斷呼籲新一代資安防護的重要性,而 APT 攻擊威脅絕對是新世代 IT 所必須審慎面對的課題。

 

千變萬化、無孔不入的駭客 APT 威脅

對於現今諸位 IT 決策管理者來說,APT 攻擊威脅是非常棘手的資安問題,我們可以用「手法難以察覺、傷害難以估算」來形容,在近兩年來 APT 攻擊威脅事件已經成為新一代資安的首要重點。 由於現今駭客著眼於網路犯罪所能獲取更有價值的地下經濟效益,因此從國家政府機構到一般企業及組織都可以是受駭的目標,不論是哪個產業領域或是規模大小。

以今年初全美第二大零售業者 Target 的資料外洩事件為例,超過 1.1 億筆客戶資料遭 APT 攻擊方式盜取,Target 因而償付予客戶高達數百萬美元,也導致股價應聲大跌,商譽受損並被迫關掉至少八間店面,其前董事長兼執行長 Gregg Steinhafel 亦因此下台。

另外以 2011 年 RSA 公司的事件來說,RSA 絕對是全球頂尖的資安公司,其 SecureID 動態密碼產生器的技術更是廣為使用,也因為 APT 攻擊手法而被竊取相關的技術資料,同樣的造成 RSA 公司的商業損失及信譽傷害,但更令人擔憂的是採用 RSA 密碼技術的客戶將曝露在駭客威脅中。

這些事件或許是資料外洩的結果,但其中的過程與手段是一連串難以完美的「信任鏈風暴」,根據 Websense 公司對於 2013 年所防範的超過 41 億次攻擊事件分析發現,幾乎所有的攻擊手法都展示各種繞過傳統的防護措施及入侵系統的技術,並能夠從受感染的網路中持續擷取資料; 攻擊犯罪者竊取資料並非完全為了金錢為獲利目的,也包括受委託摧毀或削弱對手公司競爭優勢的目的,或是為了下一個目標所設局。

在思科 2014 年中安全報告也指出,組織中「脆弱環節(weak links)」的存在,包括過時的軟體、錯誤的設定、未正確處理的數位資產、以及電腦用戶的疏失,都將會導致動態安全威脅不斷攀升,攻擊者可以利用 DNS 查詢方式、漏洞攻擊包、惡意程式、加密協定滲透、社交工程、釣魚郵件等各式手法考驗組織 IT 的脆弱性。

 

攻其不備的目標攻擊模式

從全球範圍來看,APT 攻擊呈現明顯上升趨勢,2013 年針對性攻擊的數量較前一年增長了 91%,攻擊持續的時間是過去的三倍,而台灣已經成為亞太區遭受 APT 攻擊次數前三名的國家,同時在全球 194 個殭屍網路中,台灣也高居第四名。 由於 APT 攻擊行為多數是採取「隱性」的手法,往往是針對最基礎常用、信任度高,及無法快速反應的部分著手,也造成許多 IT 管理者錯誤評估 APT 防禦策略及風險嚴重度。 我們可以從以下幾個層面分析:

  • 通道:
    在 2012-2013 年的攻擊型態統計報告顯示,HTTP、HTTPS、及 DNS 等為三大主要被利用的攻擊媒介通訊,這些通訊都具有以下特色:各項聯網必需、接觸面廣、容易變造;事實上,駭客所策劃的 APT 攻擊方式中很巧妙的利用 HTTP、HTTPS、及 DNS 通訊來達到接觸目標及達成目的,包括惡意程式的傳遞、控制指令的派送、擷取資料的取得等等;但在合法掩飾非法及點滴式傳輸的效果下,傳統的資安系統及 IT 監控方式往往很難正確識別與發揮效果。 例如 APT 攻擊所植入的惡意程式及殭屍網路,多數採取 DNS 方式與駭客中繼站(C&C,Command & Control)動態取得聯繫位址,或是利用 DNS 發動 DDoS 攻擊。
  • 系統:
    APT 攻擊常利用各項系統的弱點,針對目標設計客製化的攻擊方式。 其中,Microsoft 系統是全球企業組織使用率最高的 IT 環境,包括個人電腦、服務主機、及應用系統,但是發生在 Microsoft 系統的資安漏洞與風險也一直企業 IT 管理所困擾。 而 Microsoft Active Directory(簡稱 AD)環境則是企業 IT 尤其必須關心的重點,由於 Microsoft AD 主機在企業中扮演非常重要的服務要角,多數具有帳號權限、網路核心服務(DNS/DHCP)、及其他各項服務功能,但是安裝服務越多相對也提升該系統主機的弱點風險,一旦 Microsoft AD 系統遭受 APT 攻擊則對於企業內部 IT 營運也勢必造成極大的影響。
  • 對象:
    APT 攻擊更著重於有效的目標對象,而不像電腦病毒的無差別攻擊方式。 其中企業高階主管的助理、中階主管、公關及具有特殊權限管理者是最易受攻擊的目標,網路罪犯者會把他們當做跳板來鎖定並攻擊名人或企業高階主管這樣的目標,進而取得最大權限及深入接觸到企業最核心的系統與資料區。
  • 心態:
    多數企業仍以沿用舊有的資安概念與防護投資來面對 APT 攻擊威脅,其實在既有的資安系統強化功能所能獲得的效益已經非常有限了,近十年來的傳統資安系統設計著重於單點的安全偵測與防禦技術,換言之是規格與效能的提升。 事實上,駭客更熟知這些偵測技術與防禦方式,APT 攻擊反向利用企業 IT 人員對於傳統資安系統的信任來達陣。 根據 FireEye 的研究,企業在已部署資安設備的狀況下,仍有超過 67% 不知道已被植入惡意程式或木馬,平均潛伏期間可長達 229 天。
    從食安風暴看資安事件

近來國內深受油品食安問題而受到極大的傷害,撇除人為因素外,造成事件風暴的主因可歸於供應信任鍊的問題,相信多數的廠家及消費使用者是基於對「認證」的信任而直接或間接受害,「認證」可能是一套制度、系統、或儀器,在長年不變的情況讓有心人士得以鑽法規避,其實這非常值得目前的資安借鏡,尤其在網路犯罪朝向獲取經濟利益的方向,IT 決策管理者更是必須正視 APT 攻擊威脅。


本文由達友科技提供,2014 年 11 月 7 日達友科技與 Infoblox、Websense 攜手舉辦「資安 3.0 — IT 經理人看資安趨勢 APT 威脅防護新視角」研討會,更多活動訊息,請洽活動專線 (02)2658-8970 分機 808 邱小姐。

首圖來源:Flickr/Wies van Erp BY CC2.0 

關鍵字: ,

發表迴響