近年來企業受到循郵件管道而來的外部攻擊威脅加劇,也讓原本專注於郵件安全與管理領域的中華數位,感受到來自客戶端需求的壓力,因而除了Anti-Spam、Anti-Virus以外,如今也開始提供APT(進階持續性滲透攻擊)偵測機制與後續處理服務。
中華數位產品策略處產品經理高銘鐘指出,相較於郵件安全管理,APT攻擊手法的偵測與防禦可說是另一新興技術領域,但中華數位的角色,很難避而不談,往往會被客戶要求必須協助攔截除了垃圾郵件以外全數「不安全」的郵件。以廣義來看,透過郵件發動的滲透攻擊,郵件安全廠商確實責無旁貸,但是就專業上而言,Anti-Spam(防垃圾郵件)、Anti-Virus(防毒)、APT防禦,可說確實是分屬三種不同的技術領域。
其實原本Anti-Virus亦非中華數位所擅長,但為滿足客戶端需求,郵件安全平台也必須結合防毒軟體廠商的技術來提供,現今的APT防禦需求同樣如此,畢竟駭客思維的研究非一蹴可幾,實屬高度專業的領域,欲提供客戶APT相關偵測機制與服務,勢必得尋求專精於該領域的資安專家團隊協同合作,彼此結合才可發揮各自優勢。而中華數位也因此才得以在日前推出因應APT攻擊的Spam SQR ADM(Advanced Defense Module)進階防禦模組,以及後續的資安事件處理服務(IR Solution)。
借助外部專業資安團隊之力 提供ADM與事件處理
談到偵測APT攻擊,多數會提及沙箱技術,高銘鐘認為,依據沙箱技術的特性,確實可偵測未知型攻擊,但不見得可因應APT。他舉例,在郵件中夾帶惡意代碼,透過沙箱模擬分析發現攻擊特徵,即可斷定為攻擊郵件。只是沙箱模擬分析過程往往需耗用過多資源,因此原生的侷限是無法執行大量掃描、無法即時攔阻。此外,更致命的是過於容易被迴避偵測,只要滲透程式不在第一時間發作,或者反偵測執行環境,例如可依據滑鼠與鍵盤的操作行為,判斷是否為沙箱模擬的作業環境,再決定執行滲透或潛伏。
「我們經過評估測試後認為,沙箱機制應該交給專家操作。主因在於企業IT人員根本無從掌握最新防禦知識,若懷疑檔案有問題,大多直接上傳到雲端安全平台執行掃描,以便得知是否隱藏威脅,或是取得防禦建議作法。但是並非所有的企業都允許檔案上傳至雲端,即使只是執行掃描,都會有資料外洩考量。」高銘鐘觀察。
因此,中華數位設計推出的ADM模組,運作模式並非採用沙箱模擬分析,而是基於外部專業資安顧問在長期追蹤與研究APT攻擊模式下,所累積的資料庫與分類法。不同駭客集團會有不同行為特性,若要區分與定義,需要有分類的方法,比方說特定駭客組織的習慣是利用特定後門進行滲透。
 |
| ▲中華數位提供長期的資安照護服務,以訂閱方式提供,防止再次被滲透入侵。 |
ADM模組即是基於資安專家顧問所提供的情資進行偵測與比對,從中找到惡意郵件的蛛絲馬跡,例如從郵件分析後發現特定駭客組織慣用的滲透程式,代表該企業已被鎖定為攻擊標的。再藉由最後產出重點式分類表,亦可說明該駭客組織擅長攻擊的類型產業,以及活動方式。企業用戶取得這類分析資訊後,或許可理解被鎖定為攻擊標的的因素,例如正在洽談合作交易的專案、內部研發設計的新技術等,為滲透攻擊的最終目的,藉此提高警覺,盡速修補可能被利用的漏洞,或強化機敏資料保護措施。
「我們用的方法是藉助資安專業團隊之力,追蹤、觀察、分析駭客組織的活動,再藉以歸納整理攻擊模型,並持續更新情資,如此一來,才有能力發現新型態威脅。」高銘鐘說。當客戶建置ADM並攔截到攻擊行為時,除了告警規則,也可讓使用者取回郵件,放行與否會依據客戶需求進行客製化調整,主要考量各家企業對於資安強度皆不相同,因此ADM模組設計提供較為彈性的規則設定。
當然也有可能在建置ADM模組之前就已經被滲透入侵,既然透過ADM模組可偵測攻擊行為,中華數位基於解決方案供應商的立場,勢必需要進一步協助客戶進行後續處理,因此也同時提供資安事件處理服務。
IR服務涵蓋:全面掃描、清理與鑑識、資安照護
高銘鐘近年來的觀察,客戶端在發現遭受攻擊後,往往不知所措,甚至不知道該如何修復漏洞並且確保類似狀況不再發生,才使得IR(Incident Response)服務受到關注。而中華數位既然與外部資安專業團隊技術合作,不僅可交換研究情資,也會針對不同攻擊模式研究破解之道,因此雙方合作擬定實作方法,共同提供IR服務,內容包含:全面掃描、清理與鑑識,以及資安照護。
所謂的全面掃描是必須揭露內部受駭範圍,才知道下一步的清理工作從何著手。而清理最大的關鍵,主要是為了讓滲透行為不再蔓延。當駭客組織已掌握企業內網,下一步會開始進行遠端控制,持續擴散感染範圍,直到取得有價資料。因此清理步驟的目標要達成斷開惡意連結行為,讓內部網路不再受外部犯罪組織控制,即便無法完全清除,但至少不致惡化,以便於後續鑑識處理。
而鑑識處理可能包括重新建置,一旦損害範圍過大,根本無法逐一清理的狀況下,只能選擇重新建置。當然,在執行復原工作之前,必須先掌握滲透進入的管道、執行的動作、被竊取的資料,否則直接重建過後,恐將再次被入侵成功。因此掌握最初滲透管道、時間、潛伏期間、背後目的、已被盜取的資料,可說是鑑識工作必須達成的任務。
「清理與鑑識雖然是兩種不同概念,但我們的服務步驟是無法拆開單獨提供,必須同時進行。計價方式是以人力天計算,例如在全面掃描過後會告知客戶損害範圍,依據專業資安人員的經驗評估,可能需要支付十個人力工作天,才有辦法釐清並復原。若客戶的預算實在不多,可能只足夠支付三天的費用,我們會優先把鑑識工作做好,並提供建議處理方式,讓客戶自行清理。」高銘鐘說。
至於資安照護,則是把資安事件分析後取得的資訊,包含攻擊的模式、目的性、中繼站位址,佈建到企業端既有的防禦設備,藉此抬高再次入侵門檻。也就是依據犯罪組織的活動模式進行針對性防禦。