近年来包括 4G、云服务、智慧行动、及物联网、Big Data 等新世代 IT 应用的快速发展,“资讯联网”已经深植在人类环境中,在工作上人们必须连结企业网络系统,在生活中则有不同的网络服务提供人们。从全球范围来看,进阶持续性渗透攻击(Advanced Persistent Threat,APT)呈现明显上升趋势,台湾已经成为亚太区遭受 APT 攻击次数前三名的国家,同时在全球 194 个僵尸网络中,台湾也高居第四名。因此,许多资安专家不断呼吁新一代资安防护的重要性,而 APT 攻击威胁绝对是新世代 IT 所必须审慎面对的课题。
万物皆联网,危机四处藏
近年来包括 4G、云服务、智慧行动、物联网、Big Data 等新世代 IT 应用的快速发展,人们的生活越来越趋近于未来世界,其中所大量倚赖的便是“资讯联网”。 犹记得当年的热门科幻电影“ID4 ”,人类发现外星人是透过联网方式操控大量的智慧无人战机,其结局是由主角们伪装进入外人母舰,并透过系统连结时将研发的电脑病毒注入母舰系统,再透过联网将病毒扩散,瞬间瘫痪掉原本牢不可破的外星人攻防系统。 事实上,类似的情节已经在真实的世界中发生,近来所发生的多起 APT 攻击事件都是类似的脚本。 由于“资讯联网”已经深植在人类环境中,在工作上人们必须连结企业网络系统,在生活中则有不同的网络服务提供人们。 因此,许多资安专家不断呼吁新一代资安防护的重要性,而 APT 攻击威胁绝对是新世代 IT 所必须审慎面对的课题。
千变万化、无孔不入的骇客 APT 威胁
对于现今诸位 IT 决策管理者来说,APT 攻击威胁是非常棘手的资安问题,我们可以用“手法难以察觉、伤害难以估算”来形容,在近两年来 APT 攻击威胁事件已经成为新一代资安的首要重点。 由于现今骇客着眼于网络犯罪所能获取更有价值的地下经济效益,因此从国家政府机构到一般企业及组织都可以是受骇的目标,不论是哪个产业领域或是规模大小。
以今年初全美第二大零售业者 Target 的资料外泄事件为例,超过 1.1 亿笔客户资料遭 APT 攻击方式盗取,Target 因而偿付予客户高达数百万美元,也导致股价应声大跌,商誉受损并被迫关掉至少八间店面,其前董事长兼首席执行官 Gregg Steinhafel 亦因此下台。
另外以 2011 年 RSA 公司的事件来说,RSA 绝对是全球顶尖的资安公司,其 SecureID 动态密码产生器的技术更是广为使用,也因为 APT 攻击手法而被窃取相关的技术资料,同样的造成 RSA 公司的商业损失及信誉伤害,但更令人担忧的是采用 RSA 密码技术的客户将曝露在骇客威胁中。
这些事件或许是资料外泄的结果,但其中的过程与手段是一连串难以完美的“信任链风暴”,根据 Websense 公司对于 2013 年所防范的超过 41 亿次攻击事件分析发现,几乎所有的攻击手法都展示各种绕过传统的防护措施及入侵系统的技术,并能够从受感染的网络中持续撷取资料; 攻击犯罪者窃取资料并非完全为了金钱为获利目的,也包括受委托摧毁或削弱对手公司竞争优势的目的,或是为了下一个目标所设局。
在思科 2014 年中安全报告也指出,组织中“脆弱环节(weak links)”的存在,包括过时的软件、错误的设定、未正确处理的数位资产、以及电脑用户的疏失,都将会导致动态安全威胁不断攀升,攻击者可以利用 DNS 查询方式、漏洞攻击包、恶意程式、加密协定渗透、社交工程、钓鱼邮件等各式手法考验组织 IT 的脆弱性。
攻其不备的目标攻击模式
从全球范围来看,APT 攻击呈现明显上升趋势,2013 年针对性攻击的数量较前一年增长了 91%,攻击持续的时间是过去的三倍,而台湾已经成为亚太区遭受 APT 攻击次数前三名的国家,同时在全球 194 个僵尸网络中,台湾也高居第四名。 由于 APT 攻击行为多数是采取“隐性”的手法,往往是针对最基础常用、信任度高,及无法快速反应的部分着手,也造成许多 IT 管理者错误评估 APT 防御策略及风险严重度。 我们可以从以下几个层面分析:
- 通道: 在 2012-2013 年的攻击型态统计报告显示,HTTP、HTTPS、及 DNS 等为三大主要被利用的攻击媒介通讯,这些通讯都具有以下特色:各项联网必需、接触面广、容易变造;事实上,骇客所策划的 APT 攻击方式中很巧妙的利用 HTTP、HTTPS、及 DNS 通讯来达到接触目标及达成目的,包括恶意程式的传递、控制指令的派送、撷取资料的取得等等;但在合法掩饰非法及点滴式传输的效果下,传统的资安系统及 IT 监控方式往往很难正确识别与发挥效果。 例如 APT 攻击所植入的恶意程式及僵尸网络,多数采取 DNS 方式与骇客中继站(C&C,Command & Control)动态取得联系位址,或是利用 DNS 发动 DDoS 攻击。
- 系统: APT 攻击常利用各项系统的弱点,针对目标设计客制化的攻击方式。 其中,Microsoft 系统是全球企业组织使用率最高的 IT 环境,包括个人电脑、服务主机、及应用系统,但是发生在 Microsoft 系统的资安漏洞与风险也一直企业 IT 管理所困扰。 而 Microsoft Active Directory(简称 AD)环境则是企业 IT 尤其必须关心的重点,由于 Microsoft AD 主机在企业中扮演非常重要的服务要角,多数具有账号权限、网络核心服务(DNS/DHCP)、及其他各项服务功能,但是安装服务越多相对也提升该系统主机的弱点风险,一旦 Microsoft AD 系统遭受 APT 攻击则对于企业内部 IT 营运也势必造成极大的影响。
- 对象: APT 攻击更着重于有效的目标对象,而不像电脑病毒的无差别攻击方式。 其中企业高阶主管的助理、中阶主管、公关及具有特殊权限管理者是最易受攻击的目标,网络罪犯者会把他们当做跳板来锁定并攻击名人或企业高阶主管这样的目标,进而取得最大权限及深入接触到企业最核心的系统与资料区。
- 心态: 多数企业仍以沿用旧有的资安概念与防护投资来面对 APT 攻击威胁,其实在既有的资安系统强化功能所能获得的效益已经非常有限了,近十年来的传统资安系统设计着重于单点的安全侦测与防御技术,换言之是规格与效能的提升。 事实上,骇客更熟知这些侦测技术与防御方式,APT 攻击反向利用企业 IT 人员对于传统资安系统的信任来达阵。 根据 FireEye 的研究,企业在已部署资安设备的状况下,仍有超过 67% 不知道已被植入恶意程式或木马,平均潜伏期间可长达 229 天。 从食安风暴看资安事件
近来国内深受油品食安问题而受到极大的伤害,撇除人为因素外,造成事件风暴的主因可归于供应信任炼的问题,相信多数的厂家及消费使用者是基于对“认证”的信任而直接或间接受害,“认证”可能是一套制度、系统、或仪器,在长年不变的情况让有心人士得以钻法规避,其实这非常值得目前的资安借镜,尤其在网络犯罪朝向获取经济利益的方向,IT 决策管理者更是必须正视 APT 攻击威胁。
本文由达友科技提供,2014 年 11 月 7 日达友科技与 Infoblox、Websense 携手举办“资安 3.0 — IT 经理人看资安趋势 APT 威胁防护新视角”研讨会,更多活动讯息,请洽活动专线 (02)2658-8970 分机 808 邱小姐。
首图来源:Flickr/Wies van Erp BY CC2.0
