Arbor Networks：善盡DDoS防禦，有助終結APT亂象

無庸置疑，「進階式持續攻擊(APT)」是2014年熱門的資安議題之一，儘管其已備受討論，但現已實際佈建相關防禦措施的企業仍在少數，只因APT潛伏期漫長且甚難察覺，而市面上防護技術選項多如過江之鯽，遂令多數用戶舉棋不定。

Arbor Networks台灣區總經理金大剛預期，展望2015到2017年，APT仍將是資安焦點話題，駭客依然會窮盡各種可能的攻擊手段，竊取企業機敏資料。但他強調，企業欲防範APT，不宜僅著眼於APT本身，必須同步處理分散式阻斷服務攻擊(DDoS)，才能徹底解決問題。

觀察駭客的攻擊脈絡，APT內含兩極化走勢。其一是駭客在發動攻勢前，必先觀測目標對象的防禦能耐，故而利用一些小量或細膩的DDoS，探測防火牆、入侵防禦系統(IPS)…等門禁設施的罩門所在，以利乘隙植入並散播惡意程式，朝向重要主機匍匐前進；其二是當駭客竊得資料後，為確保往外輸送一切順利，將發動另一波破壞式DDoS，藉以Bypass所有警報系統。

善用網路鑑識，揪出潛在危害因子

綜上所述，APT與DDoS著實密不可分，理當一併處理，而現今已有愈來愈多資安系統，宣稱內建DDoS防護攻能，但這些設備皆有狀態表，可同時承載的連線數有所侷限，只要逾越此限制，該系統便將停擺，這一特性，無疑徒留駭客可乘之機；金大剛表示，Arbor著眼於此，採取獨特的「無狀態(Stateless)」模式設計DDoS防護設備，藉以扎穩馬步，進而善用長達14年協助全球九成Tier 1電信營運商監控流量的「家世背景」，蓄積大量DDoS指紋特徵資料，故而超脫業界慣用的基線(Baseline)法則，全憑行為模式之正常與否，更為精準地判讀DDoS流量。

過去一旦談到APT，幾乎僅會與沙箱劃上等號，但單憑此技術無法禁絕零日攻擊，遂有業界基於清理內網的角度，開始提倡端點防護方案；不論是Arbor擅長的網路流量分析，沙箱訴諸的Payload分析，乃至於端點行為分析，三者在Gartner的APT防禦技術定義中，恰好扮演「三棱鏡」角色，有的站在企業大門口往外照射，有的居於內網進行探測，但可以肯定，佈建得愈綿密就愈耗成本，恐非多數企業所能負擔。

為此Arbor提倡網路鑑識觀念，架設猶如X光檢測系統，不求深入揪出APT「癌細胞」，而是根據不正常的細胞位移來判讀惡意行徑，另援引巨量資料分析、及如同Google般友善的搜尋技術，為用戶提供視覺化分析報告，一目瞭然釐清APT造成的傷害與威脅；金大剛認為企業可利用鑑識機制相對較低的建置門檻，巧妙填補三棱鏡佈建密度不足的缺憾。