進階安全威脅逐漸增多,若僅多加幾道安全防禦層不見得可提高遏阻針對式威脅(targeted threats)的安全防護,因此安全管控措施必須加強。
沒有加強安全管控的企業而言,針對式攻擊會侵蝕安全管控的標準層級,造成嚴重的業務損失。就一般企業來說,突破防毒軟體或一般防護網的執行程式,有 4%?8%是惡意攻擊軟體。因此企業需要將安全防護的重點擺在減少弱點,和加強監控以偵測或快速回應不斷演變的各種威脅。現有的安全技術可大幅降低暴露在針對式攻擊下的弱點。
「進階持續性威脅」(Advanced Persistent Threat,簡稱APT)這個詞向來被誇大了,也模糊了企業真正問題的焦點。APT是借用軍方的術語,原本是指來自於另一個國家的特定威脅,後來被衍生解釋為來自其他具侵略性國家的威脅,然後又被媒體和安全防護產品廠商借用來指稱威脅來源,但這卻模糊了真正的問題焦點,就是該去重視駭客攻擊時所針對的弱點。
事實上,最重要的是企業的弱點和攻擊技術,而非發動攻擊的國家。新型安全威脅的先進之處就是攻擊的鎖定和針對程度,因此這些攻擊並非高調明顯和大規模的攻擊,可以輕易地透過簡單、特徵偵測等方式來處理。
進階針對式攻擊的動機通常是為了圖利,如透過阻斷服務攻擊(Denial-of-service Attack)進行勒索,並企圖以竊取到的資訊去向對方要求「贖金」,或是將竊取到的個人資料賣給犯罪集團。Gartner找出了一些對策可供企業因應進階的針對式攻擊:
‧一旦存有弱點,就不能怪罪威脅:
網路攻擊的勢力難以抵擋。倘若IT主管可消弭弱點,便能遏阻好奇的青少年、抱持實驗心態的駭客、網路罪犯,與資訊戰士。許多攻擊(包括Zero-day Attack,零日攻擊)通常會利用熟知的弱點作為整體攻擊的一部份。利用專門的威脅偵測、網路鑑識,和情境覺察技術都可有效快速偵測,並在進階針對式威脅發動第一階段攻擊時便做出回應,但這需要仰賴高階的技術資源方能奏效。
‧加強防禦措施,只增加安全防護網是不夠的:
企業在安全防護上做出讓步後,會面臨潛在風險,在企業能力許可的情況下,減低此類風險的最佳方式是永遠「保持高度安全警戒」。上述企業能力不單指有錢去購買不斷推出的安全產品,還包括企業的員工和營運都能支持來使用和整合安全產品。光增加安全防護網不見得就會有更多的安全保障。
‧將焦點擺在安全性,而非法規遵循:
安全性(Security)和法規遵循(Compliance)兩者很不同。從法規遵循的觀點來看,「實地查核」(Due Diligence)僅是規範公司的責任義務—但這絕非處理進階威脅或是贏得客戶信任的對策。
先進的安全措施必須超越例行公事般的標準網路安全措施和弱點評估控制(Vulnerability Assessment Control),而是要利用工具和程序來持續偵測內部網路可能遭受的威脅。不過,IT主管必須做好投資,並促使員工主動積極參與過程,亦即員工若發現異狀,必須做好準備採取因應行動。
(本文作者現任Gartner副總裁)