為何一家公司要買4種防毒軟體？

如果有家公司買了4種不同廠牌的防毒軟體，你聽了會怎麼想？這家公司要不是太有錢，或是老闆愛做人情，不然鐵定就是頭殼壞了。同時要管4種不同的防毒軟體，這豈不是自找麻煩。

然而，新加坡最大的銀行星展銀行，卻是這麼做。他們部署在用戶端電腦、伺服器、網路閘道、郵件伺服器的防毒軟體各有不同，原因倒不是他們的預算充足，或是IT部門不嫌麻煩，而是基於縱深防禦的考量，要確保銀行的最高安全水準，就必須這麼做。

刻意部署多廠牌的防毒軟體，這種做法徹底巔覆了一般的認知。單一優於複雜，這似乎是世間不變的道理；因為一直以來，我們被灌輸單一廠牌有助於IT管理的觀點，也覺得頗為合理，因為管理集中、統一，絕對有助於提升IT營運的效率。但是，發生在3月20日的韓國史上最大APT攻擊事件，卻突顯了單一廠牌導致安全風險無法分散的問題。

320事件中，攻擊者已經先摸透了目標對象的底細，針對攻擊目標所採用的2種防毒軟體下手，成功潛入負責派送防毒軟體更新的主機，利用這些企業信賴的軟體派送系統，尋企業合法的軟體更新機制派送惡意程式。

如果攻擊者發現目標對象竟然在每一個環節都安裝不同的防毒軟體，要能成功滲透必須先研究4家防毒軟體產品，困難度大幅提高就有可能讓攻擊者黯然退場。由320韓國黑暗日事件來檢視，星展銀行採取多廠牌防毒軟體的縱深防禦策略是對的。

過去鮮少資安廠商會推廣如同星展銀行所採取的縱深防禦觀念，廠商還是會談縱深防禦，但大多是指由企業網路邊界到用戶端電腦，部署一層層的防禦攻勢；但很少廠商會建議用戶在單一類型產品上採取多廠牌，例如部署多廠牌防毒軟體，以在病毒過濾這項防禦攻勢上達到縱深防禦的功效。廠商不談，是不想讓到手的訂單飛了；而絕大多數的企業也不會這麼想，因為管理負擔會加重。然而若只強調集中管理的優點，而避談雞蛋放在同一個籃子的風險，那麼就無法避免如韓國320黑暗日的攻擊事件。

當然，若問星展銀行的縱深防禦策略躲得過像韓國320黑暗日一樣的攻擊嗎？答案也不見得是肯定的，但能肯定的是，縱深防禦策略可讓攻擊門檻變高。或許無法完全躲過勢在必得的APT攻擊，但也許能夠由時間優勢來降低受災情勢。

即便企業平日妥善準備，但面對傾一國之力策動的APT針對式攻擊，可能還是難以全身而退。如此次受害的韓國大型銀行新韓銀行，他們能夠在上萬臺電腦、伺服器、ATM提款機被癱瘓之後，於事發1個小時內陸續恢復，若非平日就部署好嚴謹的防禦策略，以及在陸續的受駭經驗中持續修正防禦策略，是不可能如此迅速做到的。如果平日沒有準備，事發光是要釐清狀況，隨隨便便1個小時就過了。然而，新韓銀行最終還是無法抵擋此次的APT攻擊，對企業而言，這就是APT攻擊最大的警訊。

面對APT針對式攻擊，就像跟駭客軍隊打仗一樣。這不只是一場實力不對等的戰爭，更是一場資訊不對等的戰役。在大多數情況下，事發之前你看不到這群駭客軍隊，他們默默潛伏在你的企業裏，悄悄攻陷電腦、伺服器，一一部署攻擊武器，等到攻擊日一到，你才會突然看到這群駭客軍隊，但一切已經來不及了。

APT之可怕，韓國320黑暗日駭客攻擊就是一個最好的例子。要了解可怕的APT，請看本期封面故事「韓國最大駭客攻擊手法解密」的徹底分析。

吳其勳／iThome電腦報周刊總編輯