前美國五角大廈資安官、FireEye副總裁暨全球政府業務部門技術長Tony Cole近日來臺時表示,面對日益猖獗的網路攻擊事件頻傳,臺灣政府應協助企業及政府單位建立一套自動通報的分享機制,加快攻擊情報的傳遞分享。

圖片來源: 

iThome

近2年屢屢發生重大網路攻擊事件,甚至還有出現多起由國家出資發動的網軍攻擊,包括中國、伊朗、北韓、俄羅斯,以及另一股新興勢力敘利亞,目前都在積極培養網軍作戰的能力,使得全球網路資安戰爭走向白熱化。而過去曾擔任美國五角大廈資安官、現任FireEye副總裁暨全球政府業務部門技術長Tony Cole,近日來臺時也揭露臺灣APT攻擊的最新趨勢。

鎖定亞洲國家發動APT攻擊,臺灣排第2

根據FireEye最新報告顯示,臺灣去年下半年已成為亞洲地區遭遇APT(進階式持續攻擊)威脅最多的國家之一,僅次於香港,名列亞洲第2,更一舉超越了韓國,超過半數的臺灣FireEye企業客戶,半年內曾遭受網路攻擊,反映出臺灣近年來已成為駭客攻擊的首要目標。

Tony Cole表示,這些鎖定臺灣發動的APT攻擊,部份來自國家機構發動的網軍攻擊,且大多都是由中國策畫發動,藉此獲得經濟上的利益,他也說,這些網軍部隊很大特性是進入門檻很低,只要有一臺電腦和網路,就可以進行攻擊滲透。

而在組織犯罪方面,Tony Cole說,多數則針對醫療產業的APT攻擊,將近2成5的比例鎖定醫療業者做為攻擊目標,透過竊取醫療或健保資料,從事不法的利用,同時也有2成比例針對政府機構及電信商發動的攻擊。

Tony Cole依長期以來的觀察指出,駭客從事APT攻擊一般分為5個階段,包括初期入侵(Initial Compromise)、竊取憑證(Credential Harvesting)、水平擴散(Lateral Movement)、遠端存取(Remote Access)以及數據外洩(Data Exfiltration)。他認為,要成功阻止駭客攻擊,最重要的是在初期入侵的第一階段才可有效防堵,一旦當入侵成功後,駭客就會透過加密管道或使用正常工具,來取得機密資料,而難以偵測得到。

Tony Cole也說,曾看過一名駭客入侵系統竊取資料,過程只需短短7分鐘就完成,反觀若要企業或政府機構察覺,已遭駭客入侵,平均得花上205天。而這段期間,也被他稱之為防禦空窗期,駭客可暢通無阻在企業或政府內部取得任意資料。甚至,當中也有近7成(69%)企業還是因為第三方機構,如執法機關通知才得知已遭駭客滲透。「這也代表很多企業直到現在仍缺乏自我檢測的能力。」他說。

有漏洞就一定會遭攻擊

靠著多年全球資安事件調查的經驗,Tony Cole指出,當企業面對APT威脅時,必需先假設,企業網路如果存在有漏洞或弱點,就一定會被滲透,而且無一倖免,如此才有辦法及早阻止受駭災情擴大。

不過面對敵我攻防戰力的差距,Tony Cole不認為企業就會一面倒的打輸這場戰爭。他說,已經有看到越來越多國家機構或企業,開始意識到資安重要性,並改變了資安策略或升級基礎設施來找出網路駭客攻擊的蛛絲馬跡,加以阻斷,像是遭遇到駭客入侵,也能夠在很短時間內加以辨識後,迅速找到攻擊的源頭。

因此,比起將這些網路攻擊通通堵在門口,Tony Cole反而認為企業得建立新的資安觀念,例如分析惡意程式的特徵或IP等找出攻擊來源,同時運用智慧威脅技術來阻斷攻擊,另外也透過即時自動分享,在政府和企業,以及政府與政府之間,建立起資安聯防和分享管道。

面對駭客組織規模和攻擊複雜度急劇增長,Tony Cole也建議臺灣政府除了持續監控惡意攻擊行為外,更重要是建立一套自動通報的分享機制,一旦政府部門發現這些入侵行為,能透過通報平臺,很快將攻擊資訊傳遞出去,好比說,會攻擊外交部的駭客,也可能轉而攻擊國防部。此外當企業遭遇到駭客入侵時,也能以匿名方式分享威脅資訊。

他更進一步表示,政府最終要對抗的不是這些惡意程式或病毒,而是潛藏在病毒身後的幕後攻擊者,因此,資安政策也得具有彈性,根據不同的攻擊狀況來分配調度。

不過,Tony Cole也認為,2015年發生大規模破壞性攻擊的比例將會攀升,例如,駭客掌握了重要的基礎設施發動毀滅性攻擊等。此外,未來國與國之間發動的網軍攻擊,亦將扮演更重要的軍事角色。而受到之前發生大量零售業資料外洩的影響,他同樣認為鎖定POS銷售系統的惡意攻擊,將會在2015~2016年有持續增長的趨勢。

 

及早發現APT入侵源頭更勝於預防

Blue Coat亞太區資訊長Matthias Yeo表示,APT攻擊威脅難預防,因應關鍵在於及早發現入侵系統的源頭,才能成功阻斷,來降低受駭災情。

Blue Coat亞太區資訊長Matthias Yeo日前在2015臺灣資安大會上針對新世代APT(進階式持續攻擊)威脅,提出安全防護與資安策略。

面對持續潛伏APT攻擊,Matthias Yeo說,因應關鍵不在於企業是否有辦法找到預防方法,而是在於及早發現入侵系統的源頭,才能降低受駭災情。

Blue Coat曾以駭客及企業為調查對象,發現有超過8成(84%)駭客宣稱從發動攻擊到入侵企業,只需數分鐘到數小時就能攻破,反觀,有將近8成(78%)企業表示要發覺已遭駭客入侵攻擊,往往得花上數禮拜,甚至數月時間,顯示出雙方攻防武器差距懸殊。

Matthias Yeo表示,傳統的安全防護工具,舉凡像是資安事件管理平臺(SIEM)、入侵防禦系統(IPS)及防火牆等,皆是仰賴事前先設置好應對的規則,一旦偵測到不符合該規則的網路流量就加以排除。

不過,當面對無法應對的未知攻擊,如APT攻擊等,這些安全防護設備往往就無計可施,甚至,有的惡意程式還會刻意繞過規則攻擊。不僅如此,很多網路攻擊都隱藏在加密流量中,即便是像IPS或次世代防火牆(NGFW)也無法檢測,因而降低惡意程式的能見度。

Matthias Yeo也以人體免疫系統來比喻,他說,如果要預防身體感冒,事前可以透過健康飲食、攝取營養品及慢跑等,來增強抵抗力,即便感冒發生後,也能藉由醫院診斷或住院治療,來讓身體恢復健康。

然而,在APT攻擊預防上,他表示,企業雖然可以透過像是部署防火牆、IPS、Web安全閘道器等預防機制來抵禦外來攻擊威脅,但在提供診斷修復上卻仍缺少足夠的防護機制。

要提供企業安全診斷修復,Matthias Yeo說,企業不能只靠著傳統的防禦方法,而是得加入新的偵測機制,像是採用安全分析平臺(Security Analytics Platform)來分析異常Logs,找出導致攻擊入侵的根本原因,進而從源頭直接阻斷。

他也說,透過這種安全分析平臺,除了加強外部安全防護,也能提升企業內部安全檢測能力,像是提供了如情境感知(Situational Awareness)、事件應對(Incident Response)、數據遺失偵測與分析(Data Loss Monitoring & Analysis)、連續性監測(Continuous Monitoring)、進階惡意程式偵測(Advanced Malware Detection)、Web管控與安全強化(Web Control and Security Enforcement),以及安全性政策及IT管理、風險與規範遵循(Policy & ITGRC)等防護。

與此同時,在最近一次企業CIO調查上,Matthias Yeo也觀察到,有高達4成以上(44%)的企業CIO在面對APT攻擊威脅時,最擔憂的不是來自外部的目標式攻擊,反而是來自於潛藏企業內部的威脅,例如人為疏失而產生漏洞造成駭客滲透。

 

相關報導請參考:「臺灣資安大會現場直擊」


Advertisement

更多 iThome相關內容