今年資安廠商所提供的APT解決方案,以內容安全防護廠商Forcepoint為例,不再單純著重於能夠直接阻擋多少惡意攻擊,而是能夠大幅縮短發現這些潛藏問題的時間,減少這類攻擊在企業內部的潛伏期,進而協助將資料遭到竊取的風險,降至最低。

圖片來源: 

Forcepoint

進階持續性滲透攻擊(APT)是一種近年來相當常見的網路攻擊型態,攻擊者往往是相當有組織的駭客集團,針對特定對象設計專屬的攻擊策略,在2016年iThome資安大會中,2天總共有53個議程裡,就有11個探討APT攻擊的問題,換言之,每5個議題就至少有1個針對APT,其中像是趨勢科技分析駭客運作模式的議程,更是爆滿,許多人站在走道上與會,足以顯示這個問題對於企業的嚴重性。

但進一步來看,其實所有的議題多少都與APT有所關連,像是企業的資料防護、電子郵件、高權限帳號管控、網路安全等等,想要防範駭客滲透到企業內部,這些面向也都要兼顧,我們甚至可以說是大多資安的議題,都算是APT相關的範圍。

而這類的問題不容易察覺,受害的企業往往都是直到發現異常,才驚覺事態嚴重,那麼APT攻擊這顆不定時炸彈,大多會埋藏多久之後,才被發現呢?

趨勢科技全球核心技術部資深協理張裕敏在大會主題演講中指出,企業遭受APT攻擊時的潛伏時間平均為559天,部分較為極端的案例則超過2,000天以上,換言之,這段從駭客最早入侵,直到企業發現受到攻擊的時間,就長達1年半以上。

而專注網路威脅的Damballa公司,與針對特權帳號管理的CyberArk公司,兩者提出APT攻擊潛伏的時間數據,分別為170天與416天。

這些報告結果的差異,我們可以歸於研究機構的樣本取樣的不同,但是都突顯這種惡意攻擊潛藏在企業的時間,普遍來說都相當長,甚至可說是短時間內難以查覺。

APT攻擊手法與時俱進,需全面戒備

APT攻擊手法令企業聞之色變,潛藏在內部網路的時間又長,但到底駭客們怎麼入侵得手,在企業內來去自如,又不被發現呢?

趨勢科技資安核心技術部門資深工程師黃浩倫指出,駭客實行這種攻擊,首先要滲透到目標網路中,再來,提升控制權,以便留在這個網路中活動。直到最後,駭客將能與管理者平起平坐,取得任何有關想要得知的企業內部資料。

黃浩倫說,一般而言,想要滲透到企業或是政府組織內,駭客組織會利用魚叉式網路釣魚(Spear-phishing attacks)攻擊,藉此進入目標單位的內部網路。這個方法,大致可分為3個任務,首先,就是要取得攻擊對象的聯絡管道,通常對網路釣魚來說就是具有高權限身分用戶的電子郵件信箱。

再者,就是要利用社交工程攻擊,讓攻擊目標的高權限使用者上鉤,包含使用看起來像是會議出席提醒、求職者的履歷表、重大的新聞,或是實用資訊(例如某個景點旅遊美食一覽表)的電子郵件,吸引用戶開啟其中的附件。

而這個附件檔案也會夾帶惡意程式,藉此取得使用者的權限。黃浩倫也提到駭客具有組織與管理的一面,他以Bifrost後門管理程式為例,說明駭客如何產生惡意程式、連結C&C中繼站,以及查看受害者狀況,而這個軟體近年來也開始能夠控制Windows 64位元版本,與Linux作業系統電腦,因此,使用者不能再有改用某些作業系統,就能免受APT惡意攻擊的觀念。


Advertisement

更多 iThome相關內容