近兩年來,「進階式持續攻擊(APT)」無疑是熱門話題,展望未來數年、包括現在2015年,諸如此類鎖定特定目標的針對性滲透攻擊,發生頻率不會減少,因此仍是值得企業正視的重要議題。

 

Blue Coat技術總監曾良駿表示,回顧過往駭客攻擊,多以千軍萬馬壓境,惟如今APT駭客則先以長達數月至一年時間潛伏佈局,盡可能隱匿蹤跡免於被察覺,待至時機成熟才發動攻擊,前後攻擊型態差異甚大,因此企業務須改變觀念,不宜再以「Event-driven」看待資安防護,意即不能只求結束安全事件,而需建立一套監控機制,探索事件的來龍去脈,因為唯有掌握事故真因,才能知所防範,避免日後再有類似攻擊死灰復燃。

 

但不可否認,企業欲藉由監控機制探查安全事件真因,仍有實行困難。綜觀多數企業資安防禦工事,諸如防火牆、防毒系統、入侵防禦系統或代理伺服器(Proxy),都算是常見配備,但這些系統均奠基特徵碼偵測模式,又各自取決於不同Pattern,因此假設有10個惡意檔案進入,可能防火牆擋下3個、IPS攔下2個,另外5個檔案則是所有系統都不認識的Pattern,因而闖關成功直奔Endpoint;有鑑於此,業界開始提倡沙箱技術,希望透過行為分析,揪出未知惡意程式,但世事無絕對,沙箱也未必萬能。

 

因此曾良駿認為,企業對抗駭客攻擊,理應比照檢警辦案,借助儀器追溯案件真因,再動員專業人員執行深度分析,也就是說,企業必須投資好的工具、培養好的資安人員,才能構築健全的資安鑑識機制。

 

加密連線盛行 需以SSL可視方案應對

只不過,每當論及資安鑑識,企業立即想到的部署之道,便是透過資料外洩防護(DLP)執行側錄,但其缺憾在於難以處理加密檔案,殊不知APT駭客為求躲避偵測,一定走加密流量,突顯側錄模式存在莫大盲點。曾良駿建議企業,務必部署正確的SSL可視性設備,如同Blue Coat提供的SSL Visibility Appliance,即可在維持線速效能的前提下,針對SSL流量進行快速解密,接著交由防火牆、IPS快速比對,確認無誤後即再予加密放行;與此同時,這些SSL內容均可被複製一份,供作DLP、SIEM,或譬如Blue Coat Solera等資安分析鑑識設備所用,以利驅動後續鑑識分析作業。

 

資安鑑識究竟具有何等重要性?曾良駿指出,綜觀時下常見攻擊,往往藉由正常的網址連結,將使用者導向惡意網站,特別是難以捉摸的「一日網站」;值此時刻,唯有借助SSL可視性方案,搭配資安分析鑑識設備,始可抽絲剝繭洞察背後層層惡意鏈路,協助企業展開對應防禦措施。

 

熱門新聞

Advertisement