也不例外,以盡可能地避免漏網之魚。
而在攻擊分析部分,則要透過分
析平台來應對善於喬裝改變的
APT
攻擊手法,利用動態分析引擎迫使其
現形,進而擷取資訊來製作解藥,並
結合協同運作能力將其自動分享給其
它防禦模組,例如:模擬不同版本的
PDF Reader
來偵測內含攻擊
Script
PDF
檔案。
五、內部網路:阻絕控制的第二
道關卡
根據
Verizon
的資料外洩研究報
告顯示,有顯著比例的攻擊行動在短
短幾分鐘內就入侵系統,而且它們成
功潛伏的時間可能長達數週或數個月
之久;由趨勢科技發行的「
2013
台灣
APT
白皮書」也舉例指出,高科
技產業平均經過
346
天才發現自己遭
APT
攻擊。
一旦社交工程電子郵件順利進
入目標網路,並被受駭者成功執行,
APT
事件就會進入控制階段。在這
個階段,攻擊者會想方設法地控制受
駭系統,像是安裝後門或木馬程式
來建立命令與控制(
Command &
Control
C&C
的通訊管道,從遠
端存取受駭電腦及分析目標網路,瞭
解其使用的作業系統和應用軟體,以
便進一步攻擊應用程式弱點。
因此,在控制階段的佈防重點就
是內部網路的威脅感知和攻擊分析。
威脅感知的作用是持續不斷地偵測及
掃蕩滲透內網的攻擊行為,必須運用
網路內容威脅分析器來偵測內網惡意
程式的活動機制、發現潛在風險及精
準定位感染源,拔除駭客突破攻擊階
段在內網設置的幽靈暗樁,並利用網
路設備阻斷
C&C
的連線行為。
網路內容威脅分析器成功運作的
關鍵就在網路行為分析系統,包括多
層式行為比對與掃描,以及自動化匯
入沙箱(
Sandbox
分析
C&C
等必
要能力,結合多重引擎與行為判斷規
則,執行已知病毒掃描、變種與加殼
惡意程式偵測、惡意程式行為分析引
擎、網路蠕蟲病毒掃描與網頁信譽評
等,和攻擊階段的佈防重點相同,攻
擊分析在控制階段也是必備要件,以
動態分析持續逼使可疑的
APT
活動現
形。因此,在攻擊和控制階段採用一
致的分析平台,將能加速情資的分享,
以階層式協同運作提升防禦的效果。
六、全域決戰:對抗活動與擴散
的終極手段
到了
APT
的活動與擴散階段,駭
客已經掌握重要帳號與受駭網路,可以
存取本地網路、代理伺服器和其他網路
內的機器,為所欲為的能力幾乎已經無
需後門程式,而且還能利用先前獲得的
資訊,持續進行橫向擴散並從目標網路
取得資料。舉例來說,駭客可將自己的
權限提升到管理者層級,以便去存取關
鍵目標如郵件伺服器、存有敏感資訊的
重要電腦,或是為日後的行動預先鋪
路,發掘並確認有價值的資料。
對此,異動監控系統是必備解決
183
Technology Forum 2015
雲端
資料
BYOD
與資
網路