方案,它可針對重要主機進行系統監
控,包括建置於重要伺服器來監控可
疑檔案異動與新增行為、發現問題即
時告警;此同時,還可利用駭客行為
分析偵測來監控駭客的活動。
一旦發現已滲透至內網的
APT
動,企業必須採取的對應作法包括:
1.
確認攻擊載體,並斷絕其與駭客伺
服器的通訊。
2.
確認受影響範圍。分析資料和受感
染系統的跡證來評估損害程度。
3.
儘快進行修復步驟,不僅要強化受
影響伺服器、設備的安全狀態,還
要找出受感染機器如何被入侵。
因此,在活動與擴散階段必備的
是清除攔阻的能力,必須以產品方案
和專業服務雙管齊下,才能逐一清除
受駭電腦或潛伏已久的惡意程式。一
方面在用戶端佈建專屬的威脅採樣機
制、長期的
APT
威脅監控紀錄、威脅
事件關聯分析器,進行專屬採樣與解
藥製作;另一方面,則是透過專家服
務來規劃專屬戰略,以全面的事前偵
測、事中處理和事後評估,提供最直
接而完整的協助(圖三)。
七、用兵貴在佈陣:三層縱深防
禦決戰
APT
兩軍交戰,須能綜觀全局,對付
無孔不入的
APT
也應修正傳統只靠
單一產品一夫當關對戰的觀念,要將
戰線拉深至內網和終端,擴大防守面,
圖三 橫跨
APT
三階段的縱深防禦服務架構
184
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用