要如何避免來自電子郵件中的APT攻擊呢?一般APT攻擊,大致上可分為三個主要階段,分別為:惡意郵件散佈階段、惡意程式感染階段、長期對內竊資階段。想避免成為APT攻擊的受害者,可分別從此三個階段進行防範。
定期將作業系統或常用的應用程式進行安全性更新修補,是防止惡意程式利用作業系統或應用程式漏洞的最根本方法,用不到的程式也盡量別安裝。除此之外,電腦中最好不要有不使用的或密碼設定過於簡單的帳號存在,也不應以明碼記錄帳號、密碼;作業系統在不妨礙正常使用的情況下,應盡量將相關的資訊安全設定調整為最高的防護等級。
 |
| ▲駭客夾在電子郵件附件檔的程式,只是一個不含惡意程式碼的下載器,藉此躲過防毒軟體。此後從外部下載惡意程式,即使被防毒軟體偵測並隔離,只要下載器還在,仍可繼續引入更新的攻擊程式。 |
以Windows作業系統為例,應啟用系統內建防火牆,且不隨意關閉UAC(User Account Control)防護,在系統支援DEP(Data Execution Prevention)功能時,應對所有程式和服務開啟DEP功能,再對不適用DEP防護的程式進行排外設定,這樣才能有效的免除風險。
長期對內竊資階段
當駭客順利讓受害者接觸惡意程式,並取得受害者電腦的控制權後,下一步就是竊取資料,或操控受害者電腦以便發起其他攻擊行動。在這個階段中,主要的防護課題在於「監控電腦活動並杜絕任何不明連線」。
許多防毒軟體有內建軟體防火牆,這些防火牆在電腦程式準備向外連線前,會警示並詢問電腦的使用者這樣的連線是否合理、是否要許可這個連線。軟體防火牆可以監控本機電腦明顯不合理的網路活動。
除了本機的監控外,電腦對外連線的各種閘道端(Gateway)也需要有相關的記錄與監控程序的存在,諸如向外傳遞機敏資料的審核;非工作時間不合理網路存取限制、記錄與警示;異常的網路探測嘗試,或是有電腦試圖拜訪惡意網址等等,這些都是駭客試圖竊資或操控受害者電腦的痕跡。
結語
上述三種階段的對應防護工作,只要其中一項生效,即可中斷駭客的攻擊。我們難以確保某一階段的防護已達滴水不漏,所以在做資安建置時,三種階段的對應防護工作都必須同時落實。
<本文作者:高銘鍾,現任ASRC垃圾訊息研究中心主任。擁有專案管理師、ISO 27000、ISO 20000等相關證照,曾負責中華數位科技SPAM SQR產品開發團隊中的規劃事務與相關專案管理,並擁有十年資安領域相關經驗,專精於垃圾郵件、惡意攻擊研究。>