時序進入春夏之交,萬物滋長,國內外躍上新聞版面的資安事件卻也不遑多讓。JAVA 0-Day攻擊、Adobe 10的漏洞、Nokia客戶個資被竊事件、中共網軍內幕被揭露,以及南韓銀行與電視台大規模被駭事件等等,這類事件的總稱,其實就是進階持續式滲透攻擊——APT(Advanced Persistent Threats)。
與其說攻擊,不如說是威脅,因為這一類的事件的目的,或是為了有價的情資而來,或是為了癱瘓對象目標的網路伺服器或資料中心。然而,大部分的受害者都以為有了防火牆(或次世代防火牆)、IDS/IPS、安全閘道(Web Gateway)、防毒牆、防垃圾郵件等設備,就可以高枕無憂了。
孰不知,這一類資安防禦設備的工作原理,都是針對已知且有特徵碼(Signature base)的惡意威脅進行辨識與攔阻,雖然效率極高,但也常有誤判(false positives)的情形,往往讓資安人員飽受批評。
所有APT攻擊事件的爆發點,都是由未知的惡意程式(Malware)引發,因為還沒有特徵碼,上述傳統的資安設備無法識別所以不足以防禦。知名的市調公司顧能(Gartner)在2012就結論說,傳統的資安技術已被先進的惡意程式突破。
而現今的APT惡意程式更已經進階到會變形、會裝睡(潛伏)、會分散重組、會閃躲VM環境、會偵測確實進駐個人電腦才觸發等等特異功能。然而,無論它們怎麼進化,都有著一定的攻擊行為模式(Attack Life Cycle)可循:
- 1.探查系統漏洞:利用人或信任關係發出釣魚郵件,誘使目標點擊郵件連結或附加檔。
- 2.植入惡意程式:進入宿主後,或潛伏,或立刻進行下一步驟。
- 3.建立對外連線:在宿主不知情的情況下,透過網際網路與主控者(command & control)取得聯繫並接受遙控指揮。
- 4.內部橫向感染:開始在宿主的內部網路搜尋目標情資。
- 5.對外傳送得手情資:一旦情資得手,迅速對外回傳。
上述的惡意攻擊流程與現代軍事用語OODA Loop(亦即Observe, Orient, Decide & Act)十分類似。戰爭勝負的關鍵,就在於是否能快速地完成此一流程;然而破敵之道,也就是如何成功阻斷敵方OODA Loop的運行。
普天之下沒有萬能的解藥,資安的部署也不可能一勞永逸,唯有持續了解APT最新的技術與攻擊手法,在駭客成功得手之前予於攔截、阻斷,保護公司有價情資、無價資產,就已經值回票價了!
(本文作者現任FireEye台灣區總經理)