Olympic Destroyer Retrospective Earl Carter Samsam Talos 思科

事件回應非緝兇 防禦才是重點

2018-05-29
外部威脅不斷演進,驅動因素在於攻擊者可藉此獲取非法利益。為保護客戶免於遭受攻擊,思科Talos團隊集結了約280位專業研究人員,每天解析威脅相關情報,並且轉變成可採取行動的措施發布到全球客戶端,以提高偵測能力。
攻擊者通常會發送郵件誘使使用者點選連結網址或附加檔案,思科Talos資深資安威脅研究經理Earl Carter指出,Talos團隊平均每天可以阻擋197億個威脅,在近期發現的威脅活動中較知名即為Olympic Destroyer,專為南韓平昌冬季奧運設計的惡意軟體,這種全球注目的大型活動很容易成為攻擊標的,目的通常在於中斷賽事的進行。

▲思科Talos資安研究團隊資深資安威脅研究經理Earl Carter提醒,威脅手法正快速地演進與變化,保護措施勢必得因應調整,畢竟攻擊永遠不會消失,若防護力無法跟上攻擊者的腳步,當然會成為遭滲透入侵獲取利益的肥羊。
「我認為Olympic Destroyer案例特別之處,在於利用惡意軟體散佈許多假訊號,讓研究人員追蹤時雖能掌握來自世界各地多個駭客組織的操控線索,卻無法從中釐清幕後主導者,顯然是藉此達到混淆的目的,以免被追蹤發現攻擊的來源。」Earl Carter說。由此可發現,在不同攻擊事件中,要精準地判斷背後的攻擊者並不容易,因此Earl Carter認為,資安事件調查的重點目標仍應該建立在加強防護措施,而非全力投入搜捕追查攻擊組織。

另一種攻擊案例是「機會主義者」,主要是利用已知的弱點發動攻擊,全球知名的Samsam勒索軟體家族即是典型例子,針對醫療、政府內部的應用系統,利用已知的漏洞執行惡意檔案加密,以勒索贖金,目的即是為了獲取利益。

此外,隨著全球愈來愈多人操作並從中獲利,加密貨幣自然也成了攻擊者覬覦的目標。發動手法主要是運用中間人攻擊,當終端用戶登入虛擬貨幣錢包準備執行買賣行為,事實上卻是被導向攻擊者設置的惡意網站,導致虛擬貨幣錢包買入的比特幣皆落入攻擊者手中,Earl Carter觀察,近兩年來此種犯罪竊取金額約達五千萬美元。

在攻擊手法不斷地演進與改變下,資安技術再先進也難以保證毫無破綻,重點是在解決方案之中,應具備持續監控能力,以便在發現攻擊事件時,掌握整起活動的執行行為,從歷史軌跡中估算影響範圍,執行回溯(Retrospective)功能將傷害降到最低;並且得以快速地從中釐清根本原因,進而有效的改善或修補弱點。

「透過威脅情資的共享,讓不同防禦機制皆可藉此全面性提升認知能力。建立正確且一致的偵查與判斷能力,才得以完善全面性的多層次防護,有效地降低資安風險。」Earl Carter說。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!