根據FireEye去年(2013)針對全球63個國家、分屬二十?多種不同產業的1,216家企業,進行先期測試(Proof of value)的結果統計:有高達97%的公司均存在被駭客滲入的足跡。FireEye台灣區總經理馬勝彰指出,其中有超過25%的駭客滲透行為,已確認是APT(Advanced Persistent Threat),亦即有目的性的滲透攻擊。
「通常會要求FireEye協助測試的單位,大多是各行業的指標性企業,規模大、握有智慧財產權等機敏資料,自然不乏最先進的資安建置,然而檢查後仍有97%已遭滲透。」馬勝彰強調,FireEye設備是建置在IT架構的最末端進行測試,因此發現滲透痕跡,即表示該攻擊行為早已順利穿越(Compromised)前方的防火牆、防毒等資安偵測機制。
統計整個測試過程,共發現二十?多萬次惡意程式下載數,並非為內部員工有意識的主動下載,而是背景執行。其中有超過九萬個Malware是第一次出現,從未曾在其他地方被發現。由此可發現,現代的惡意攻擊多具針對性,發動滲透的惡意程式也為專屬設計,才得以順利穿越既有資安機制的防線。
 |
| ▲在台灣最常出現的駭客工具Gh0st RAT,只要透過郵件發送滲透程式,成功入侵後即可透過Gh0st RAT內建功能控制該台電腦,或選擇Key Logger,同步側錄使用者所有進行登入帳號或密碼的輸入值。 |
另一份針對亞太區威脅統計的報告指出,今年上半年亞太區約有35%的企業已經被駭客滲透但卻渾然不知,而台灣更可說是亞太區中的APT重災區。就駭客攻擊來看,FireEye技術經理林秉忠說明,在台灣使用率最高的駭客工具為Gh0st RAT,佔有47.37%,且三、四年來持續不斷地更新版本以強化其他攻擊能力。較特別的是Taidoor,則是駭客組織專為台灣政府機關所設計的攻擊工具。
「其實每個駭客組織都有各自習慣使用的工具,畢竟像是網軍這類組織也是人所組成,經過組織化、專業分工後,再大量的利用視窗介面工具輔助攻擊行動,有時甚至不需要資訊技術能力,只要滑鼠點選即可。」林秉忠說。
面對駭客工具的功能日漸精良,身為APT解決方案廠商,馬勝彰表示,必須持續努力的目標就是協助企業縮短攻擊行為偵查時間,以及後續的事件處理。FireEye的核心技術是MVX(Multi-Vector Virtual Execution)引擎,本質是虛擬架構,但並非為市場上常見的商用技術,而是專屬針對解決資安事件所設計的環境,可偵測多面向的威脅,不管是郵件、網頁、檔案、行動裝置等來源的流量皆可分析。
除了以硬體式內建MVX引擎提供分析,取得的攻擊資訊再回報至動態威脅情報雲(Dynamic Threat Intelligence,DTI)分享給全球用戶,FireEye近期更進一步推出專家監控與防範威脅(Managed Defense)訂閱式服務。馬勝彰說明,主要是運用SOC概念協助企業時時監控、保護內網安全,並在發現異常時立即發出告警與基本處理。萬一遭駭客入侵成功,亦可透過FireEye去年收購的Mandiant的情資網,協助資安事件處理。