APT攻擊防制

資安議題研究區

APT攻擊防制

Postby Jenny » Thu Aug 20, 2015 5:11 pm

原文連結:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8152

國外金融業目前面對APT的幾個基本做法與改變
撰文者:葉怡芬 光盾資訊科技有限公司 資深經理

APT是什麼?
首先,APT(advanced persistent threat)不是一個新型態的攻擊。一直以來,所謂的駭客利用各種進階的方式,有耐心且持續地攻擊目標,而APT為形容這樣行為的辭彙。然而,這樣的針對性攻擊有愈來愈多的趨勢,政府、銀行、大型企業遭受這樣攻擊的狀況與日俱增。例如,Operation Shady RAT這支惡意程式在2011年8月被公布時,已在美國政府的電腦及其供應商電腦中運作二年之久。近年發生的Sony駭客攻擊事件,也是一個典型的例子。

APT的特色為何?
想要有效對APT進行防禦,就要先了解它的特性。相對於防守者而言,APT的攻擊者至少有幾個戰術上的優勢:
一、缺少歸因性
要確認是誰發動此種攻擊是非常困難的,因為攻擊者時常利用複雜的跳板進行攻擊,要證明攻擊者的身分很不容易。
二、應用程式普遍充斥漏洞
這類型問題是最容易被APT攻擊者利用的,例如常見的注入式攻擊、權限提升漏洞,都充斥於線上的系統及應用程式。另一例子,就是許多類型的web camera因為有重大漏洞,如果它們連上網路,很易被攻擊者存取,並進入系統看錄影的內容。
三、使用者普遍缺乏正確的資安知識
攻擊者可能寄送釣魚信件給被瞄準的用戶,而因為攻擊者對用戶進行過調查,很容易能誘騙一般用戶開啟信件。這樣的釣魚信件標題可能是:2015年上半季績效公告。
當攻擊者打開郵件甚至是附件時,電腦就被植入惡意的程式,造成持久性的傷害。
四、諸多漏洞尚未被知曉,因此沒有補丁程式
這是APT攻擊中最強大的武器,即使是已上完補丁的系統(例如Windows已升級完成),仍無法防禦零時差漏洞。我們需要完整地防護所有重大漏洞,但攻擊者只需要找到一個重大問題,就可能達到目的。

國外如何做?
要防禦攻擊,就要先定義最重要的資產,並針對它們加強防護。
深度防禦(defense in depth)為行之有年的構念,實做上包含了預防(prevention)、偵測(detection)、resilience(彈性)、recovery(回復)四個階段,並同時應用於技術(technical)、實體(physical)、管理(management)三個不同的面向。Vladimir Jirasek(director of communications at the Cloud Security Alliance UK & Ireland)曾在ISACA研討會中提到,他說:企業必須先了解哪些是需保護的重要資產並謹慎評估其可能面臨的風險及其影響性。若沒有先進行全面及深度的評估,人們往往選擇簡單的選項而忽略重大風險的防範。

可以確定的是,沒有任何一種防護設備是可以完全阻擋APT的,所有的資安產品僅可以解決部分問題。我們必須透過布署多層面的保護措施,才能較有效地制止這類型的威脅。諸多國際大型企業安裝多種防護設備,仍不斷有資安事件發生,例如JP Morgan於2014年底的事件(https://en.wikipedia.org/wiki/2014_JPMo ... ata_breach)。舉例來說,深層防禦機制中「預防」包含偵測可疑的電子郵件(電子郵件若包含惡意程式或連結,將可能植入惡意程式於主機中)、預先對發布的程式進行完整的安全偵測(黑白箱、滲透測試)。「偵測」包含察覺可疑的連線(包含連出及連入)、定期進行防毒軟體掃描,而讓系統更有「彈性」則可讓攻擊發生時,系統能夠有效反應和緩解。「回復」則包含一個嚴格定義並持續演練的過程,讓系統遭受攻擊時,能以既定好的時程回復運作。

資安沒有特效藥,它是基本功的組成,以及一個不斷審視、查核的過程。根據Verizon Data Breach report,96%的攻擊事件會成功並不是基於複雜的原因,而是因為基本的防護並沒有做好。

下為國外針對APT,常見且務實的做法:
一、檢視對外開啟的服務、使用最小權限原則及加密
攻擊者可能利用任一開啟的對外服務,入侵到系統內部,尤其是這些服務有漏洞的時候。另外,FTP這類未經加密的傳輸就應該禁止使用,而改採SFTP或SSH。曝露的面愈窄,可利被利用的地方就愈少,不是必須的服務均建議關閉。一般來說,愈多的程式碼,也會隨之產生愈多的漏洞。

二、確認及保護端點的安全性
端點的防護是非常重要的,因為它往往直接涉及到我們要保護的資料。我們必須要針對端點進行入侵的預防及偵測。例如,防毒軟體必須定期更新,並對主機進行掃描。當有上傳功能時,也應該對上傳的內容進行分析,防止惡意程式被上傳和執行。在端點之前,也應進行適當的保護措施,例如防火牆控管和完善的資訊架構規畫。

三、注意應用程式的安全性(含網頁及智慧型裝置)
應用程式應進行深度的安全檢測和分析(包含上線前,以及定期測試),找出攻擊者可能入侵的管道和漏洞。應用程式漏洞可造成毀滅性的傷害,例如主機控制、敏感資訊外洩、資料被竄改等等。此外,定期對有被支援的程式進行更新是至關重要的,例如Windows的安全性更新,均應該有嚴謹的規範來進行。

四、教育使用者
定期針對不同的用戶類別舉行務實的教育訓練,例如系統管理員必須設定安全性足夠的密碼、定期更換金鑰等。而一般用戶則應該注意資安規範並嚴謹遵守,例如目前金融單位要求的「社交工程演練」,即是針對用戶進行的資訊安全測試。針對電子郵件的安全性,注重安全性的組織普遍使用數位簽章(Digital ID) 與數位憑證(Digital Certificate),並對電子郵件進行預防性掃描、對用戶進行嚴格教育訓練,達到深層防禦的效果。

五、找出並保護最弱環節
在找到要保護的資產後,應利用嚴謹方式評估它們的安全性,並找出單一最弱點(single point of failure)、對它加強防護。舉例來說,若最重要的資產是客戶的個資,我們就要評估個資的資訊流程,這個流程可能包含用戶於網頁輸入資料及傳送資料、主機處理並儲存個資於資料庫、資料庫進行異地備援、用戶登入後資料由主機傳至用戶的瀏覽器等等。這整個流程都必須分析可能的資訊洩漏點,例如若資料庫含有漏洞,則它可能被攻擊者利用,造成個資被竊取,這時候我們即可以針對這樣的情境做防護,例如嚴格限制能夠存取資料庫的IP。

六、注意資安最新規範、了解最新攻擊手法。舉例來說,NIST(國家標準技術研究所,http://csrc.nist.gov)及DHS(http://www.dhs.gov)時常發布公開文件,讓系統管理員知道最新的最佳防護做法(best security practices)。CVE(https://cve.mitre.org/)也不斷公布問題,讓系統管理員可以知道最新發布了那些漏洞、如何防範漏洞被利用。

有了基本的防護將能大幅提升攻擊者達成目的的門檻,從而降低風險和APT發生的機率。在這之後,我們將能更進一步針對每一個環節進行更深度的防禦。

普遍來說,台灣的組織較強調的是管理上的稽核(例如通過資安的管理認證),而缺乏技術上(執行面)的稽核。資安相關問題通常需要配合技術上的稽核,才能有效找出問題和強化防禦,例如弱的連線加密機制可輕易破解等。無法明確指出資安瓶頸也是台灣的組織常面臨的議題,因此透過專業資安技術顧問檢測並提供全面性的風險評估和強化建議能讓企業有效的了解目前的企業的資安狀況及脆弱環結,才能讓企業對其資安防護做有效的資源規畫及運用,同時有效防止駭客攻擊或公開漏洞。

組織必須自管理階層正視問題的存在,才可能有效解決資訊安全的問題。G. Mark Hardy是National Security Corporation的總裁,他說:「新的攻擊維度不斷增加、變快、愈來愈危險,且無所不在。」資安從來不是一個安全的狀態,而是一個不斷進化的過程。企業能做且該做的是不斷評估風險並針對評估結果加強防禦。
Jenny
 
Posts: 76
Joined: Thu May 01, 2014 3:59 pm

Return to 研究專區(Research Area)

cron