對抗APT是企業必須面臨的長期戰爭

進階持續性滲透攻擊（APT）是一種近年來相當常見的網路攻擊型態，攻擊者往往是相當有組織的駭客集團，針對特定對象設計專屬的攻擊策略，在2016年iThome資安大會中，2天總共有53個議程裡，就有11個探討APT攻擊的問題，換言之，每5個議題就至少有1個針對APT，其中像是趨勢科技分析駭客運作模式的議程，更是爆滿，許多人站在走道上與會，足以顯示這個問題對於企業的嚴重性。

但進一步來看，其實所有的議題多少都與APT有所關連，像是企業的資料防護、電子郵件、高權限帳號管控、網路安全等等，想要防範駭客滲透到企業內部，這些面向也都要兼顧，我們甚至可以說是大多資安的議題，都算是APT相關的範圍。

而這類的問題不容易察覺，受害的企業往往都是直到發現異常，才驚覺事態嚴重，那麼APT攻擊這顆不定時炸彈，大多會埋藏多久之後，才被發現呢？

趨勢科技全球核心技術部資深協理張裕敏在大會主題演講中指出，企業遭受APT攻擊時的潛伏時間平均為559天，部分較為極端的案例則超過2,000天以上，換言之，這段從駭客最早入侵，直到企業發現受到攻擊的時間，就長達1年半以上。

而專注網路威脅的Damballa公司，與針對特權帳號管理的CyberArk公司，兩者提出APT攻擊潛伏的時間數據，分別為170天與416天。

這些報告結果的差異，我們可以歸於研究機構的樣本取樣的不同，但是都突顯這種惡意攻擊潛藏在企業的時間，普遍來說都相當長，甚至可說是短時間內難以查覺。

APT攻擊手法與時俱進，需全面戒備

APT攻擊手法令企業聞之色變，潛藏在內部網路的時間又長，但到底駭客們怎麼入侵得手，在企業內來去自如，又不被發現呢?

趨勢科技資安核心技術部門資深工程師黃浩倫指出，駭客實行這種攻擊，首先要滲透到目標網路中，再來，提升控制權，以便留在這個網路中活動。直到最後，駭客將能與管理者平起平坐，取得任何有關想要得知的企業內部資料。

黃浩倫說，一般而言，想要滲透到企業或是政府組織內，駭客組織會利用魚叉式網路釣魚（Spear-phishing attacks）攻擊，藉此進入目標單位的內部網路。這個方法，大致可分為3個任務，首先，就是要取得攻擊對象的聯絡管道，通常對網路釣魚來說就是具有高權限身分用戶的電子郵件信箱。

再者，就是要利用社交工程攻擊，讓攻擊目標的高權限使用者上鉤，包含使用看起來像是會議出席提醒、求職者的履歷表、重大的新聞，或是實用資訊（例如某個景點旅遊美食一覽表）的電子郵件，吸引用戶開啟其中的附件。

而這個附件檔案也會夾帶惡意程式，藉此取得使用者的權限。黃浩倫也提到駭客具有組織與管理的一面，他以Bifrost後門管理程式為例，說明駭客如何產生惡意程式、連結C&C中繼站，以及查看受害者狀況，而這個軟體近年來也開始能夠控制Windows 64位元版本，與Linux作業系統電腦，因此，使用者不能再有改用某些作業系統，就能免受APT惡意攻擊的觀念。