2014年8月19日 星期二

提高憂患意識 方能降低APT得逞機率

提高憂患意識 方能降低APT得逞機率

放眼全球,台灣的處境堪稱奧妙,幾乎可謂舉世最為特殊的進階持續性滲透攻擊(APT)戰場,早在世人尚未聽聞APT名詞的2002年,便頻頻遭受此類攻擊,迄今甚至成為特定網軍的練兵場。顯見台灣企業機構面臨嚴峻考驗,必須嚴陣以待。

時序進入2014年,有幾件令人怵目驚心的資安事件,不禁凸顯APT攻擊之可怕。

第一樁大事,其實發生在2013年底,但其驚悚程度,至今依然讓人印象深刻,也屢屢成為各個資訊安全研討會的經典教材。

全美第二大零售業者Target慘遭APT攻擊,綜觀整個事件始末,蘊含諸多發人深省的教材。來源:Thsaerie.org

全美第二大零售業者Target,驚爆美國史上最大宗資料外洩事故,超過1.1億筆客戶資料慘遭駭客盜取,影響所及,其因而償付予客戶高達數百萬美元,此一巨大損失也導致股價應聲大跌,商譽隨之受損,被迫關掉至少8間店面,其前董事長兼執行長Gregg Steinhafel,亦因此下台一鞠躬。

近幾年間,隨著巨量資料(Big Data)話題火熱,Target靠著精準分析,締造了「比父親更早知道女兒懷孕」的傳奇故事,一時之間被廣為流傳,甚至喻為Big Data應用典範,原本讓人深覺此企業極具前瞻視野,營運前景不容看淡,惟如今過往事蹟已鮮少為人稱頌,取而代之的,竟是資安防護不力、罔顧顧客權益的醜陋形象,著實教人不勝唏噓。

另一樁事件,苦主的知名度未若Target響亮,但案件的驚悚程度,卻是有過之而無不及!一家名為Code Spaces的程式碼代管網站,在2014年6月遭受了駭客精心籌劃的大規模分散式阻斷服務(DDoS)攻擊,此一攻擊型態,相較於諸多「神不知、鬼不覺」的APT,看來不那麼難纏,理應可以應付無虞,殊不知此事只是前菜,早已鎖定Code Spaces的駭客,居然在同一時間,還取得了該公司在亞馬遜AWS EC2雲端運算服務控制台的存取憑證。

Code Spaces一夕垮台  震撼資安業界

自認勝券在握的駭客,於是獅子大開口,向Code Spaces提出鉅額勒索;此時Code Spaces仍想負隅頑抗,遂嘗試以變更EC2密碼的方式,意圖粉碎駭客的陰謀。然而經過雙方12小時的激戰,證實駭客確實技高一籌,憑藉著已經得手的存取憑證,決定給予對方致命一擊,大刀一揮,舉凡AWS EBS快照、AWS S3的儲存內容、Amazon虛擬機的鏡像檔,全遭徹底刪除,終至灰飛煙滅,甚至連異地備份也幾乎消除殆盡。

事已至此,Code Spaces苦心建立的事業基盤,可謂一夕瓦解,營運活動幾至無以為繼,寫下了因駭客攻擊而吹起熄燈號的首例。

其實惡意攻擊事件斑斑可考,絕不僅止於上述兩例,包括2013年Adobe遭駭客攻擊,導致290萬名客戶資料及部分產品程式碼被竊;2013年紐約時報遭駭客盜取重要資料與公司密碼;2012年中東國家因感染Flame病毒,導致機密資料遭駭客蒐集並逐步外流;2011年伊朗、蘇丹、敘利亞及古巴遭受Duqu攻擊,以致數位憑證遭竊;2011年資安公司RSA竟被駭客入侵得逞,造成SecurID失竊,而駭客於隔月就憑著得手的SecurID金鑰,成功潛入軍火製造商洛克希德馬丁(Lockheed Martin)網路,恣意竊取機密資料。

在這些事件之前,2010年時伊朗曾遭受Stuxnet蠕蟲攻擊,以致核電廠控制器淪為駭客禁臠,因而影響核能設施運作,險些釀成巨大災厄。

看到這裡,或許有些企業,自忖僅是中小型機構,並非赫赫有名的顯著目標,駭客理應看不上眼,暗自慶幸不會慘遭毒手;也有些企業,自承已經備妥了防毒、防火牆、垃圾郵件過濾、入侵防禦系統(IPS)、資料外洩防護(DLP)、網頁應用程式防火牆(WAF)、資料庫稽核等一干資安盾牌,足以抵擋駭客進犯,還不解問道,這些遭駭的企業或政府組織,為何不像自己勤於佈建防禦工事?

莫以為你有APT豁免權

事實上,如果有企業因為前述兩個理由,就認定自己可以安然無恙,鐵定大錯特錯!根據某資安廠商在2013年所做的調查,8成企業機構受到APT攻擊仍渾然不覺,其中更有高達逾7成的受駭單位,被形容像是癌末病人一般,已經讓惡意程式在內部大肆擴散,這些單位除了有政府機構,以及坐擁油水電等關鍵基礎設施的業者外,中小企業也赫然榜上有名,尤其是承包政府專案的業者,更是駭客覬覦之標的。

別的不說,許多人並不陌生的惡意簡訊,譬如「您好,您的汽機車有交通罰單逾期未繳納,查一查自己有無莫名其妙被照相或罰款的紀錄,查詢下載:http://goo.gl/eqhxtD」,即包藏了頗為惡毒的勒索軟體,並從2014年起大舉肆虐台灣,此雖非典型APT攻擊,但卻意謂你我身邊已環繞著大量惡意網站、惡意軟體,稍有不慎便會中招,絕不會因為你的服務單位毫不起眼,就可倖免於難。

另外,企業若以為擁有防火牆、次世代防火牆、入侵防禦系統、防毒軟體,抑或植基於關鍵字阻擋的防護系統,就能逼使駭客知難而退,也未免太過樂觀。

此乃由於,這些看似強勁的盾牌,其實各有各的盲點,如同防火牆,係透過網路控制抵禦惡意攻擊,但面對來自允許網路位置的惡意程式,只會任由通行無阻,起不了作用;如同IPS,防禦手段構築於網路規則之上,無法偵測到需要檔案分析的惡意程式;接著以防毒軟體而論,顯而易見的,其僅可防護已知攻擊,根本無從偵測未知惡意程式,而迄至今日,人們幾乎未聞「已知」APT攻擊,足見處在APT從未知變已知的空窗期,防毒軟體根本束手無策。

值得一提的,本文一開始提及的Target,不但絕非疏於防護,而且甚至稱得上資安模範生,仍難免百密中顯露一疏,釀成無可收拾的禍患。

Target究竟是怎麼一回事?該公司為了避免遭受APT,早先已斥資160萬美元引進知名防禦方案,建立了業界認定最為有效的沙箱模擬機制,並於印度設置一組安全團隊,負責監控Target的資訊安全,而包括原廠FireEye及印度安全團隊,事實上也相當盡責,已將蒐集的告警訊息,轉送予Target位在美國的安全監控中心(SOC)。

然而,這些可疑的惡意活動,畢竟僅佔每週所有網路活動紀錄的極小比例,這也意謂著,絕大多數網路流量並無異常,久而久之,Target的SOC團隊逐漸失去戒心,未能立即處理可疑癥兆,錯失了可提前遏止APT入侵的良機,殊為可惜。

另有業界人士解讀,Target遭駭事件,看似起因於輕忽可疑警訊,但未必真是如此。據悉,Target SOC當中一名備受倚賴的經理人,在事發前離職,後續接手的負責人員,似乎未具同等技術能力,遂在APT駭客攻防中落居下風。

也有專家分析,現今駭客泰半狡猾至極,很懂得規避攻擊目標既有的安全機制,因此若欲從一片矇矓晦暗的微量跡象中,探索駭客行跡,就必須善盡事件的檢測與分析,不能只把心力擺在警報的調查,舉例來說,每當有警報發生,重點並非追查其攻擊過程,而應探究這個警報對系統造成何等影響,包括IP位址做了哪些妥協,或是網路系統是否因而產生變化,但要想還原這些真相,不僅需要蒐集齊全的流量模式、系統設定與歷史紀錄等詳細資訊,亦需仰賴專業技術人員費神判讀;很顯然的,Target SOC團隊要嘛選擇捨難求易、避重就輕,要嘛即是缺乏足夠技能,以致遭駭客長驅直入。

一個曾被誇讚的資安優等生,做了看似完備的防禦工事,仍難免掛一漏萬,甚至隱隱顯露專業技術上的缺失,則多數台灣企業機構的資安整備度相對不足,又難以配置龐大專業人力,專門負責看管網路流量,因此盱衡一切條件,可知這些單位的防護實力,肯定遜於Target,既然如此,又怎能在敵人環伺下安枕無憂?

先撇開系統建置不談,至少,企業之中除了IT管理者外,下至基層員工、上至高階主管,個個都務先養成正確的防護觀念,不使用高危軟體,不造訪高危網站,不忽視系統更新事宜,先站穩趨吉避凶的第一步。

轉載自《DIGITIMES中文網