從APT攻擊談網路資安防禦新觀念

資安防禦永遠不夠，就怕沒有做，更糟的是做錯了。漫無目的的駭客攻擊已非資安威脅的主流，或許讀者已經注意到近期的熱門話題－－恐怖的APT進階持續性滲透攻擊（Advanced Persistent Threat，APT）。

APT新型態攻擊

所謂APT進階持續性滲透攻擊是一種具策略性新型態攻擊方式，此類攻擊者通常都非常有耐性，不再為了蠅頭小利或一時的虛名而行，他們能為了一個終極目標持續幾天、幾週、幾個月，甚至更久。

RSA成首批祭旗者

從蒐集特定標的各類情報開始，這可能包含了所使用的IT技術、網路架構、作業系統訊息甚至是人員，進而從事多階段的滲透攻擊手法，藉以植入Bot或是Rootkit等惡意程式，達到取得系統控制權以複製機密或是敏感數據來竊取知識產權。

近日最著名的案例就是喧囂塵上的RSA雙因素認證（Two-factor Authentication） 動態密碼機制已遭破解，據消息來源指出，此次案例並非如往常般藉由逆向工程所為，而是由於RSA公司保存Token種子的伺服器被APT手法攻破而遭盜取，可以輕易地模擬出任何TOKEN在任何時間所產出的一次性動態密碼（OTP）。曾經號稱最安全的RSA密碼神話，也終於成了駭客APT的首批祭旗者。

iPad2被滲透越獄（Jailbreak）

賈柏斯嗤之以鼻Adobe的Flash資安疑慮言猶在耳，而頗為諷刺的是其所引以為傲的iPad2的軟硬體保護機制也在Comex團隊APT滲透測試的無時差攻擊下，利用Safari的PDF（Adobe的另一知名產品）潛在漏洞（CVE-2011-0227），僅透過Sarari載入一個嵌入特製PDF檔案即可完成越獄（Jailbreak）。

這個漏洞普遍的存在Apple的手持式裝置，包括iPod／iPhone／iPad的iOS 4.3.3中；當然，其他的駭客也可輕易利用相同的手法，植入惡意軟體而導致使用者的資料外洩，或是讓駭客存取裝置上的攝影機、使用者位置，以及竊聽使用者的通話等。

這一連串赫赫有名大公司，像是美國參議院、英國國家醫療保健服務、Google、RSA、Visa，還有Sony，其中還不乏一些知名的網路科技大廠，相繼慘遭APT的毒手，相信讀者不禁要問，難道面對APT攻擊真的毫無對策嗎？更遑論一般的企業組織的資安防禦能力。

改變原有資安防禦架構

在面對APT攻擊時，真的是完全束手無策嗎？其實也不必那麼悲觀，只需針對新型的APT攻擊的特性和其最終目的改變原有的資安防禦架構和方式，就能大幅增加對其之防堵能力。

著眼於APT的新型攻擊方式，傳統的被動防禦已無法抵禦多變而且持久全面的APTs，另外，這個頗具爭議性的議題，也讓所有的網路的使用者莫衷一是，無所適從。行文至此，顯而易見的APT攻擊，不同於以往的攻擊行為模式，僅僅針對一個特定的公司，組織或平台的長期持續性的滲透測試及攻擊。

與其漫無目標地採購建置資安防禦環境，倒建議應該從關鍵且重要的資產著手，所有的網路行為其實一如真實世界的縮影，以往的資安事件及攻擊可比擬為街頭的隨機犯案事件，而APT則為有計畫的智慧型犯罪，比照生活情境，其實就類似銀行搶案。接下來以銀行搶案作為分析，抽絲剝繭提供資安防禦建議。

資料庫安全

什麼是銀行最重要的資產也是歹徒覬覦的最終極目的？當然不外乎是金庫和錢財。那麼什麼是企業內部最重要的資訊資產呢？智慧財產、客戶資料、商業機密等等，然而它們儲存在那裡？答案就是資料庫。

主機的資料庫、個人電腦，還是紙本檔案夾。無論是那種方式，企業已經做好了資料庫的安全準備嗎？一般來說，企業主總認為，資料庫在企業內網也鮮少有接口可提供對外的存取，應該是相對的安全，因此也沒有花太多的心力在資訊庫的資訊安全上，但真的是這樣嗎？尤其是在個人資料保法的施行細則即將年底公布施行細則，而所有資料擁有者必須善盡保護義務。

企業的資料庫就有如銀行的金庫，不但要防來自外部的有心人士，內部的安全管控也是一大重點。

那麼，資料庫安全應該包含那些？在法規與安全規範遵循方面，應該經由內建及使用者客製化安全政策，確保資料庫系統符法規或是業界規範安全政策，免於系統暴露在探勘、漏洞、設定缺陷、作業系統問題、操作風險以及資料存取權限等等威脅。

另外，專家系統級的資安建議報告，也能提供額外的法規符合與實踐的支援，如PCI、SOX、HIPAA及GLBA等。

至於在企業內部資料庫存取政策實踐上，有效制定管控資料庫存取的5W政策，針對人、事、時、地、物的敏感資訊存取，即時的自動偵測和告警降低。

這些政策必須能被輕易地執行政策，包含資料庫符合企業的標準設定、建置客製化應用程式設定或針對不安全的使用者密碼做穿透性等測試。

最後企業必須有完整的資料庫活動追紀錄。在作法上可針對預設的政策以及產生原始存在政策的產生追報表；使用獨立的儲存空間資料庫稽核紀錄完整／精確的資料庫活動，整合稽核標準化、可出的客製化稽核報表，輕易地設計擁有企業標幟，法規合乎的圖形報表分析出問題所在。

不管是什麼種類的使用者活動（如SQL或Procedures，甚至Console存取），都可經由資料庫活動監控忠實紀錄。

網站安全

雖然直接目標金庫的獲利最為豐富，但是得要深入銀行內部，而且還得經由重重的警才能達陣，因此搶匪會開始思考錢流的途徑和每個必經過程的安全管理的突破容易度，那什麼是金錢流的必經過程呢？在我腦海中一閃而過的就是搶匪持槍直接跳入銀行櫃台脅迫行員將現金裝入背袋的畫面。

在網路世界的虛擬櫃台就是網銀的交易網頁，同樣地，目前大多數的資料庫已使用瀏覽器作為存取的前端作業程式，因此直接與資料庫接取的網站就成了目前駭客攻擊的另一個主要目標。

近來被吵得沸沸揚揚的網頁應用程式防火牆WAF（Web Application Firewall）已然成為網路資安不可或缺的一環，建構於網站與用戶端瀏覽器之間，針對各種通訊協定與應用程式內容進行檢測，可執行所定義的安全政策（白名單），也可經由自動更新的特徵值碼，即時阻擋大規模爆發的資安威脅，如Cross Site Scripting（XSS）、SQL Injection、緩衝區溢位（Buffer Overflow）等惡意攻擊行為。

除了特徵值比對阻擋已知的攻擊，如知名的OWASP10等，其他像是有效參數驗證、門檻值限制、連線管理、流量管制等相關技術的具備，才能有效地避免網站遭受暴力的惡意攻擊。

網路閘道安全

直接跳進櫃台打劫銀行雖然單刀直入，但畢竟櫃台上的現金有限，要不就得要脅行員開金庫，就時間和風險評估來說，成本效益不大。

試問是否有大筆金錢是在常態在銀行外部流動的呢？當然答案是肯定的，追隨著金錢流方向，不難發現還是有機會成本更大的所在，例如運鈔車、網路銀行。因此針對企業有價值的資訊流做有系統的追及分析成了當前的重要課題。

那麼何處是相對應企業組織可能存在最重要的資訊流（Data Flow）且具有潛在的資訊洩漏風險？當然，紙本公文和檔案，絕對是資訊洩密的頭號管道。

前些時日參加某個警務人員防洩密的資訊安全研習營，教授當場指出管好資安的首要要務，居然是管好各單位的垃圾筒，因為據統計過去有許多資訊洩密的案例，都是源自於垃圾筒。

所有開會紀錄、簡報檔及公文都是幕僚對某議題，做過消化、精簡萃取而為了呈現給同仁們或呈報長官的易於吸收且有用資訊。

話說回來，E化的時代來臨，傳統的紙本是的資訊也隨著電子化的型態，存在於網路中，所以制定企業的資訊存取規範且徹底的實踐就成了當今的顯學（Regulation Compliance）。

然而此類的資安設備的鼻祖首推網路防火牆，想當年網路資安似乎只要有防火牆一夫當關就真的可以萬夫莫敵了，曾幾何時網路防火牆已成為最基本需求，而隨著多功能多樣化的網路內容式層級的資安防護也使得企業組織不僅僅可以制定網路協定層的政策，且針對應用程式第七層的內容性的政策也得以順利實踐。

新一代防火牆所著重的內容式資安檢測，涵蓋了大家所熟知的防火牆、IPSec/SSL VPN、入侵偵測與防禦、防毒、SSL加密流量檢測、不當網頁內容過濾、應用程式控管等。

無線網路安全

進一步的追蹤金錢流，不僅運鈔車是歹徒的目標，劫運鈔機也是許多警匪片中耳熟能詳的橋段；就如企業的無線網路也是資訊流的空中載具，而大部份企業中暴露在天空中的無線網路一般都是資安最被忽視的一環。

內建無線網路控制器的新世代資安防火牆可與Thin AP無縫整合，將每個Thin AP流量引導至新世代的防火牆中，可有效經由身份識別、多重資訊安全引擎檢查，僅有授權且符合企業政策的無線網路資訊流量可被轉送甚至找出不合法的AP且進而阻擋。

多重的資訊安全引擎的深度檢查能夠識別7層的應用和針對影響生產力的應用程序的阻絕和速率限制，將原有的所有資安管理延伸至無線網路，建構企業的滴水不漏的3D資安網。

身份識別

以往總是強調防護外來的盜匪，卻忽視了內賊難防，而且造成的損害通常遠大於外賊。像是遠至霸菱銀行的尼克·李森至近日的瑞銀的惡棍交易員阿度柏利，甚至富邦銀行的運動彩券舞弊事件的林昊縉，尤其是運動彩券就是一個典型在身份授權上機制過於單一，且無多層次的授權程序，易生弊端。

而企業在身份授權機制上亦面臨同樣的問題，單純固定IP抑或使用者名稱與兩個月變更一次的密碼就可代表使用者身份嗎？

身份識別的課題，僅僅只單純的依賴RADIUS、LDAP或Windows AD的使用者認證機制，以及每月必來叨擾的強制更改密碼訊息，未必就能滿足企業身份認證需求。

唯有內建結合數十秒就自動改變的OTP（One Time Password）的雙因子認證（Two Factor Authentication）功能的新世代資安防火牆，遠較傳統防火牆原有的數週才改一次的密碼的機制安穩得多，大幅降低了密碼被猜中而被冒名存取的風險。

架構全方位防護網

為有效防範多樣化且具目標性的APT攻擊，需要面對的已不再是僅為了一時出風頭的駭客，而是具有目標性、策略性，甚至是為了謀取商業或公部門最重要資產的專業組織。

針對APT攻擊，企業資安人員總是陷於「就連Sony、 RSA、Google都淪陷了，我們能做什麼？」的迷失當中。本文僅就資安及APT的本質探討，經由重要的資訊流的傳遞途徑及媒介一一發掘及探討企業本身最具價值資訊的所在，依循著企業組織的藏寶圖建構一個全方位的資安防護網。

（本文作者現任Fortinet台灣區技術總監）