2013年7月11日 星期四

解析駭客攻擊手法固資安

解析駭客攻擊手法固資安


建立全新防禦思維 以最佳實務原則對付APT

回顧近三年, 先是2011年美國前三大軍火商遭受攻擊,後是2013年3月20日南韓舉國陷入混亂,在在意謂著,持續進階威脅(APT)已成為新資安時代的主要議題!

Xecure Lab艾斯酷博科技的執行長邱銘彰,為APT做了頗為貼切的詮釋:「無論你想不想參戰,你已身在戰場之中」,但綜觀APT衍生的現象,包括掃毒軟體直說無毒、Email不但為熟人所寄而且有簽章、Email夾帶真實的業務內容、附件並非EXE而是看似一般的無害文件、公司內習慣點開附件者所在多有⋯,面對這一切,不禁讓人懷疑,這種攻擊怎麼可能檔得住?

事實上,APT攻擊最可怕之處,在於它凌駕於現有資安防護之上。主因在於,APT是客製化的目標式攻擊,以樣本分析、特徵碼為主的防護機制完全無效;APT使用數位簽章,可直接繞過資安設備的白名單;APT使用零時差漏洞;APT使用加密碼的文件,可繞過沙盒或虛擬環境

換言之,面對APT攻擊的最新防禦思維,便是「你一定會被入侵」!邱銘彰強調,在真實世界裡頭,並無100%的偵測率,所以企業一方面必須雙管齊下,盡可能提高現有防禦設施的偵測率外,在有限的成本下,也要提高Response的能量,二方面則需「了解你的敵人」,剖析傳統思維為何難以防禦APT,藉由不能阻擋APT攻擊信件、不易找出內網駭客滲透、沒有最新的C&C資訊等盲點,回過頭檢視自身的資安防禦,並思索因應防護之道。

邱銘彰認為,面對APT問題「不要怕,你還有救」!面對APT所引發的惡意郵件攻擊、惡意程式植入、間諜網路活動、內網入侵滲透等四大威脅,用戶應在資安體系中加入APT防禦能量,一來可使用非特徵碼的偵測方式,補足APT信件的偵測需求,二來應強化資安事件反應、快速打擊惡意程式的能量。

大致來說,對付APT的最佳實務原則包含四點:一、必須體認APT的主要特徵,即是其手法超越傳統安全防護機制;二、APT感知能力與攻擊情資的整合,是所有安全防護技術平台,都應具備的新一代關鍵技術;三、減少社交工程攻擊的危險,建置安全資訊與事件管理系統,監控及分析安全機制產生的資料;四、企業須強化事件反應能量,加入內部或第三方廠商的「鑑識分析和惡意程式分析」能力


總結而論,APT將是新資安時代的主要議題,傳統防毒與特徵碼的思維將轉趨式微,除此之外,惡意的社交攻擊郵件,絕對會是駭客的主流攻擊手法,更重要的,企業必須具備情資導向的分析能力,藉由預防、通報、監控、應變等機制的到位,進而建構自主防禦體系。

導入民間資安業者力量 加強政府資安防禦

綜觀全球資安威脅趨勢,不論是組織型駭客以APT竊取公務、國防與商業機密,網路與經濟罪犯大量竊取個人隱私資料,資訊戰(Cyberwarfare)與分散式阻斷攻擊癱瘓國家網路,乃至於資安供應商持續遭駭,破壞信任價值鏈並危及網際網路整體運作,在在都駭人聽聞。

剖析駭客慣用手法,主要可分為「攻擊」、「控制」與「散播擴散」等三大階段。在攻擊階段,係運用社交工程電子郵件攻擊、魚叉式網路釣魚攻擊,先影響少部分的人;在控制階段,主要透過攻擊應用程式弱點、植入後門或木馬程式、建立駭客之通訊管道,增加影響範圍;至於散播擴散階段,則是藉由內網攻擊與擴散、竊取密碼及資料,將影響範圍擴大到極致

行政院資通安全辦公室主任蕭秀琴表示,因應上述威脅,政府資安防護策略首重深度、廣度及速度等三維度,包括將協助機敏機關強化資安防禦縱深、建立資安聯防擴大整體防護網絡,並以演練及預警提升機關應變速度。


如何拉長戰線,增加防禦縱深?蕭秀琴解釋,針對攻擊階段,重點在於偵測及阻擋社交工程電子郵件;針對控制階段,一來需要阻擋軟體遭到觸發,二來必須阻擋惡意程式的安裝;針對散播擴散階段,除了必須偵測與阻擋駭客C&C連線外,另須偵測內網中的駭客活動。在此前提下,以技服中心G-SOC為軸心的資安聯防網路,以及蘊含資安訊息情報、網頁攻擊情報、資安預警情報、入侵事件情報、回饋情報的G-ISAC資訊分享機制,即顯得相當重要。

至於民國102資訊安全重點工作,則涵蓋五大項目。第一是部會及國家資安監控之規劃:除仰賴SOC安全監控機制,收集機關各種軟硬體設備之即時流量資料,進行彙總、交叉比對,識別異常狀況,進行即時通報外,另將結合導入民間資安業者力量、加強政府資安防禦,並引導政府機關編列充足預算,建構適宜之資安服務,而技服中心未來定位轉以「二線監控」為主,將能量運用於協調處理部會之重大資安事件。第二是推動政府組態基準(Government Confi gurationBaseline;GCB),以及網域名稱伺服器安全延伸(DNSSEC),前者旨在規範資通訊終端設備的一致性安全設定,後者則透過DNS之全球性安全認證,確保保「我們造訪的網站不是假冒的網站」以及「我們從網站上所獲得的資訊是受到網站認可的」。

蕭秀琴補充,針對南韓遭駭台菲網路相互攻擊等國內外重大資安事件,政府已展開因應策略,例如規劃建置「關鍵基礎設施通報應變機制」,此外也由技服中心持續發布資安警訊。

解決APT,從郵件安全做起

網擎資訊(Openfind)解決方案顧問張弘達指出,APT攻擊有四步驟,依序為鎖定目標、設法入侵、客製攻擊與竊取情資;其可怕之處,在於它擁有「針對性」、「很難防」與「超低調」等特質,共通點在於目標式攻擊、引誘觸發部署後門程式,惡意郵件是駭客主要攻擊手法,而受害者通常第一個失守之處,即是郵件

由此觀之,要想解決APT難題,即有必要從郵件安全開始做起,那麼僅需執行「2不」(不開陌生郵件、不開執行檔)與「3上」(上Patch、上防毒軟體、上PKI)等措施就已足夠?顯然還不夠,因為防範APT,沒有單一解決方案。


該如何是好?張弘達建議企業,郵件安全必須從「人」做起,因為所有都安全了,但人不安全也是枉然!所以一方面需要針對MTA、MTU予以定期修補,並搭配採用PKI、Antispam等防護措施;二方面則更重要,必須幫人腦上Patch,不論員工、主管、老闆或管理者全無例外,只因人懂得何謂安全,系統才會安全。值此時刻,企業不妨借助郵件安全防護系統的主動提醒,及時遏止高風險的收信或寄信行為。

安全平台需有背景感知能力 

Websense台灣區技術總監莊添發表示,時至今日,有高達85%的惡意聯結置放於合法的網站,APT攻擊手法已從社交工程郵件轉向水坑式攻擊(Watering Hole),意即等待攻擊目標造訪特定網站時,再趁機感染進而竊取資料,連帶使得社交網站風險驟增,企業必須倚靠一個兼具即時網站內容分析、Exploit防護、Flash安全分析、Payload分析、Botnet/CC/URL偵測、資料外洩防護(DLP)等多重防禦技術的平台,才可望趨吉避凶。

在此情況下,企業可藉由進階網頁安全防護方案的部署,透過Proxy、網頁分類(含網頁內容過濾、上網管理)、安全防護,及資料外洩防護(含網頁上傳內容分析、網路硬碟防護、網頁郵件防護)等關鍵功能,遏阻現今愈來愈難纏的惡意攻擊


莊添發引述Garner BestPractices for MitigatingAPT報告指出,Gartner建議企業應在網路、郵件、網頁、端點建立縱深防禦,至於最佳實務原則包括:一、確認目前的產品具備最新引擎;二、評估安全平台的背景感知安全功能;三、與IP位址信譽服務結合;四、啟用DLP功能;五、強化事件的交叉關聯分析能力

運用四大策略有效防範Botnet入侵

威播科技技術服務部專案經理林岳鋒指出,綜觀Botnet的侵攻秘史,依序是壞人入侵一般網站、以Email社交工程滲透使用者,誘使使用者瀏覽網頁、以惡意程式進行感染,終至讓受害者僵屍附身、資料外洩。 

面對Botnet,防毒軟體絕非萬靈丹,無法有效偵測網路行為、及辨識惡意軟體,而新型態BOT也可輕易避開防毒軟體偵測。 

如何有效抗禦Botnet?林岳鋒認為,企業需要奠基於智慧型網路內容分類與管理平台,同時啟動「威脅過濾」、「流量管理」、「應用控制」與「流量統計」等四大防護策略,據以阻擋過濾惡意封包、根據需求實施適當流量管理、執行細部應用控制與管理,並找出網路異常流量,藉以力抗Botnet入侵。 

此外,Botnet務必透過在地化研究,只因BOT為區域性流行,散播惡意程式會根據目標的習慣、風情及語言;因此資安廠商不僅需要有專屬研究團隊,亦可與大專院校產學合作,以取得多元Botnet資訊。 

憑藉完整複製與回復技術善加保護資料 

Palo Alto Networks技術經理藍博彥表示,面對目標式攻擊或新型態惡意程式,傳統靜態威脅特徵比對技術逐漸式微,連帶突顯動態分析技術之重要。有關新一代資安防禦,應涵蓋事前安全防護、事中緊急應變、事後復原作業等構面,妥善執行安全檢測、安全稽核、網路監控及人員安全管理等措施,實施應變處置、持續監控與追蹤管制,並保全證據,進而全面檢討網路安全措施、修補安全弱點、修正防火牆設定,以防止類似攻擊事件再度發生。基於上述需求,企業不但需要建立分析異常、不明流量的能力,亦須借助事件關聯分析功能,藉以大幅縮短事件分析時間,以期有效規範高風險網路行為。 

兼具應用與服務管控機能的安全閘道,無疑相當重要,唯有如此,才能綜觀來源使用者、應用程式、URL類別、設定檔等多重維度,協助用戶簡化管理複雜度,提升資安治理效率,順勢杜絕不明流量、降低受駭風險。

省思資安事件,建立攻防思維

AcereDC資安維運處處長黃瓊瑩指出,2013年可謂多事之秋, 接連發生南韓遭APT攻擊Spamhaus遭Cyberbuner 發動流量300Gbps DDoS攻擊,以及美國銀行遭穆斯林組織「燕子行動」DDoS攻擊,衍生多項發人深省的課題。

網軍攻擊持續演進,已可輕易藉由單點突破、鎖定網域管理者、埋藏幽靈權限與帳號進階攻擊等途徑,導致全機關的資安控制慘遭瓦解。 

根據Acer觀察,現今國內已有資產管理系統慘遭攻擊之案例,透過相關Log檢測,可察覺執行可疑程式stsdll.exe、並連往可疑IP之443 Port等異象。除此之外,亦曾有某遊戲業者遭受駭客攻擊,硬是被關閉防疫體系,駭客的做法是,藉由惡意程式竄改系統設定並植入惡意機碼,接著癱瘓防毒軟體、停用微軟防火牆,再執行FTP命令稿連往駭客主機,下載並執行惡意程式,刪除由駭客主機下載之惡意程式與FTP命令稿,以避免惡意程式被管理者取得與留下痕跡,最終駭客可透過Backdoor在主機上植入各種惡意程式。 

其餘值得正視的資安風險,還包括了具有合法數位簽章的惡意程式,針對特定產品弱點之攻擊,以及DDoS癱瘓式攻擊。 

憑藉完整複製與回復技術善加保護資料 

EMC業務拓展總監李百飛說,3月20日南韓驚爆史上最大駭客攻擊,其中受駭的農協銀行,約3千萬用戶受到影響,同時有部份信用卡客戶資料遭到刪除;可用於解決資料遺失問題的技術,不論是備份、鏡像或持續性資料保護等項目,即顯得相當重要。 

針對備份,用戶須留意的關鍵技術,包括重複資料刪除,以及虛擬主機端至儲存端的QoS控制;前者旨在於大幅減少傳輸的資料量,有助於優化資料份與回復效率,後者意在解決堪稱棘手的備份難題,譬如EMC提供的Avamar,即兼具重複資料刪除與完善QoS控制功能,頗適合企業的海外分公司作為集中備份之用。 

有關持續性資料保護部分, 企業選用的復原方案, 則必須跨越應用系統、磁碟陣列、地點位置、時間等不同藩籬,都能維持高可用性、高延展性,及應用系統資料的一致性,倘若再搭配雙中心雙活架構,如此一來,企業無論面對VMware、Oracle或Microsoft等不同環境的資料保護需求,都可望在完整的資料複製與回復技術加持下,有效規避資料遺失風險。

轉載自《iThome》