站在歲末年終之際,回頭看今年企業IT應用趨勢,不難發現正逐漸朝向雲端化/SaaS應用、行動化/資訊系統App化以及消費化/BYOD等幾個方向發展。
只是就資訊安全層面來看,IT管理者所面臨的最大挑戰,除了行動設備普及帶來裝置管理與安全方面的隱憂外,主要威脅幾乎矛頭皆指向進階持續性滲透攻擊(Advanced Persistent Threat,APT)。
針對這類目標式攻擊的問題,趨勢科技台灣暨香港區總經理洪偉淦指出,根據一年來於客戶端實地調查發現,遭受攻擊的情況確實相當嚴重,只是受駭單位通常根本不敢聲張,一旦確定為攻擊事件則立即被列入最高機密處理。以往這類攻擊事件並不會被重視,甚至去年只要談到APT,多數IT主管都認為那是屬於政治目的之攻擊,只有政府單位才會遇到。自從今年逐漸意識到現代化攻擊行為已趨向低調隱匿,企業才開始升起警覺性,思索看似風平浪靜的IT基礎架構下,究竟有多少未被發現的攻擊行為。
駭客組織化獲利模式
「今年陸續接獲客戶主動要求檢測,也發現的確就是遭受APT攻擊,且情況都蠻嚴重,幾乎可說是遍地開花,不論行業別都全面遭遇此類事件。」洪偉淦強調。儘管台灣近兩年高科技製造受大環境景氣影響始終低迷,卻仍是重要的攻擊標的。去年還只是預測企業內部握有專利、營業秘密等核心競爭力資料,勢必會成為覬覦的目標,沒想到今年就出現許多高科技製造業接連遭受攻擊,而發現時,資料往往早就已經被盜走。
網擎資訊(Openfind)研發協理張嘉淵亦觀察到,過去一年來企業端已逐漸意識到社交工程、釣魚網站、詐騙等攻擊的破壞力,而不再只是單純當成新聞事件看待。「數位戰爭的利益導向,誘使駭客日漸猖獗。以前犯罪手法算是搶公司保險庫,現在則是資料庫、檔案庫,且不容易被發現。得手後再把數位資產到黑市交易變現,可能還遠遠超過以往犯罪搶奪的有形資產。」
像是近期出現的CryptoLocker勒索軟體,一旦順利入侵電腦系統後,隨即加密系統中所有檔案,若不依照指示於期限內支付三百美元(約台幣九千元)贖金,檔案將永遠無法恢復。且支付方式是透過比特幣(Bitcoin)等線上交易,利用網路虛擬支付難以被追蹤的特性,來進行犯罪行為。由此可發現,現代化駭客攻擊已經不只以APT手法竊取資料,地下犯罪組織經濟規模已成形,最終目的即在於藉此獲利。
重新檢視新型態攻擊
現代化駭客攻擊具有高度的隱匿特性,想方設法規避各式防禦偵測,即使企業內部已建置多層式防護,仍不敵駭客技術。「根據FireEye全球調查報告指出,95%的資安事件,皆是檢調單位發現,當然台灣也不例外,這是很可怕的事實。」FireEye台灣區總經理馬勝彰表示,就以今年發生在南韓的320駭客攻擊事件來看,受影響的銀行、電視台等皆屬大型企業,不乏最高端的現代化安全防禦機制,仍舊被攻擊得逞,其實為政府與企業帶來不小震撼。根據FireEye對此事件持續研究與觀察後續發展,發現這類大規模攻擊行為,皆是計畫性的預謀犯案。
「追蹤這起南韓320事件後,除了深入挖掘出更多先進攻擊手法,更重要的是,從該起事件中學習到,既然資安事件勢必會發生,不論是政府、民間企業,必須重新省思,依實際的要求而言:需要多快時間可發現遭受攻擊、多快反應可把損害降到最低、多快可修復,以此三大要點來檢視資安方面的投資。」馬勝彰強調。
面對資訊科技進步的趨勢,IT部門需吸收新知建立基本概念,而駭客攻擊行為的變化可說是當中不可或缺的一環。如今多數IT主管都理解資安投資永無終止,只是思維上,仍舊侷限在傳統資安工具。馬勝彰觀察,主要是來自心理因素影響,若IT主管承認現有的投資不足以因應新型態攻擊行為,需要導入新興防護機制,例如FireEye來協助,則可能會遭受高層管理的質疑,既有資安建置已投入相當多資源,若坦言仍不足夠,恐會被認為是管理能力的問題。
「有時一個對的解決方案,要在企業內部推廣時,通常會遇到政治因素問題。所以必須透過許多管道跟更高層主管溝通,說明這類新型態攻擊事件之所以無法被有效控制,並非IT人員疏於防範或技術能力問題,而是駭客攻擊技術精進之下,僅以現有的建置來抵制,有防禦上的極限。」馬勝彰強調,像是FireEye採新興技術提供的解決方案,主要是為了補強現有的資安投資。儘管現在針對已知型惡意程式的特徵碼辨識技術,已經能防範大部分既有資安威脅,但面對APT這類未知型攻擊行為,必須採有別於以往的技術來辨識與抵制。
未知型惡意程式的攻擊行為,通常有些特定跡象可循。Fortinet台灣區技術總監劉乙舉例,惡意程式滲入後通常會向所謂中繼站(Command and Control,C&C)聯繫,但由於中繼站必須為動態變換才能躲避偵測,於是惡意程式透過演算法或程式中內建的名單一一訪查時,經常會出現許多連線失敗的記錄,而以往多功能進階防火牆(Unified Threat Management,UTM)並沒有內建記錄這類行為模式,如今則可透過報表或警示來發現。欲察覺出這類可疑行為,IT人員必須具備這方面的概念,並搭配相關工具來協助。
行動安全逐步發酵
另一個讓IT管理者不得不面對的則是BYOD課題,洪偉淦觀察,今年已有許多企業開始陸續進入評估,甚至編列預算準備建置管理機制。其實IT管理者並非不了解行動化裝置普及後對管理與安全性帶來的衝擊,只是在應用趨勢促使下,如今已不得不管,因為數量持續增加,再加上開始出現應用系統App化,以趨勢科技內部資訊系統為例,像是請假、簽核、視訊會議等日常工作系統,皆可至企業內的App Store下載安裝,在行動裝置上即可處理公務。然而畢竟員工私人設備,公司要控管有難度,且不管便罷,納入管理後便相對會產生責任,而IT人員又必須額外掌握眾家系統平台相關技術。