曹乙帆拜 APT 攻擊之賜,惡意程式與端點安全問題儼然成為當前最棘手的資安問題之一,傳統基於特徵碼的安全方案在發揮不了安全防護作用的情況下,面臨形同虛設的空前窘境。對此,Gartner 呼籲企業應該趁早導入端點偵測與回應解決方案 (Endpoint Detection and Response, EDR),進而全面提升防範、偵測並回應各類精細目標式攻擊的能力。
由長時間持續性之連串攻擊行為所構成的 APT 威脅,不論透過郵件或網站來做為入侵的管道,駭客打從一開始的鎖定目標不是桌機、筆電、伺服器,就是手機或平板等端點裝置,為了增加入侵端點的成功機率,APT 駭客並且會為攻擊目標量身訂做專屬惡意程式,傳統基於特徵碼的安全方案在毫無樣本與特徵碼的狀況下,根本無法有效偵測出任何安全威脅。也因為如此,隨著 APT 的日益猖獗,端點安全的嚴重性也隨之到達前所未有的程度。
本文目錄
防毒軟體已死! 特徵碼式安全方案無力招架 APT
近來最能展露惡意程式與端點安全問題嚴重性的事件之一,莫過於 2013 年黑暗首爾 (Dark Seoul) 與 2014 年 Sony Picture 的 APT 攻擊事件,前者光惡意程式便潛伏了 6 年而完全沒有被任何安全機制偵測到;後者竟然在攻擊後因無法解決電腦停擺問題,只好公告所有員工回家休息 3 天,並要求員工不要登入自己電腦與公司 Wi-Fi 網路。儘管如此,後續還有連串的資料外洩等著一一上演。據 Engadge 報導,SONY 在電腦/網路鑑識調查與系統復原上竟然花費高達 1,500 萬美元。
中芯數據資安技術顧問吳耿宏表示,從上述兩個事件中,APT 攻擊不但宣判防毒軟體的死刑,也讓以特徵碼做為防護基礎的安全機制毫無招架之力、形同虛設。甚至連身為全球最大惡意程式防護方案商的賽門鐵克資深副總裁 Brian Dye 都痛心疾首地宣稱:「防毒軟體已死!」儘管特徵碼式安全方案仍具備因應已知威脅的作用,但面對能將未知攻擊與零時差漏洞運用自如的 APT 駭客,企業勢必要有改弦更張的準備。
「當前有 71% 的攻擊起始於端點設備。由此可見端點安全已成為當前企業防護上的一大漏洞,然而當前企業用戶的資安概念與實際防護仍停留在閘道端,致使企最後一道防線上的防禦工事嚴重不足,」吳耿宏引述 Verizon 2014 年資料外洩調查報告指出:「問題的癥結有兩點,其一為傳統防毒軟體的偵測率不足,另外更重要的是發現端點遭入侵後,並無妥善處理之策。」
從 SONY Picture 如此具規模的企業在遭到 APT 攻擊卻束手無策的情況中,再再反應出當前企業缺乏事後處理的能力。尤其當前投入電腦與網路鑑識領域的方案不多,再加上該領域需要耗費極大人力與時間,所以該方案與服務極其昂貴,這也是何以 SONY 必須耗費 1,500 萬美元才能讓原有系統恢復正常的原因,如此高昂支出,自然非一般企業所能負荷。但面對日益急迫的 APT 與目標式攻擊問題,企業勢必要找到兼具安全與成本效益的解決方案。
回歸端點才是抑制 APT 的最佳之道
面對上述安全議題,Gartner 建議企業透過端點監控、偵測與回應能力的建立,便能有效處理進階威脅。進一步而言,企業可以透過所謂 EDR 解決方案來因應 APT 攻擊問題。對此,中芯數據推出兼具操作簡便優勢,並符合安全與成本效益的設備型 EDR 方案-Sentinel,該方案具備 Gartner 特別強調 APT 防護上必須具備的五大能力:網路流量分析、網路鑑識 (Network Forensics) 、封包負載內容分析 (Payload Analysis) 、端點行為分析與端點鑑識。
當前許多威脅會隱身在 SSL 等加密機制背後,進而達到「強渡關山」的作用,這也成為許多傳統資安方案最頭痛難解的困擾之一,其中尤以閘道型安全設備為然,因為該類型方案並不具備卸載封包以進行掃描偵測的能力,雖然企業可以額外添購加解密設備來解決,但高昂的代價亦非所有企業所能負荷。
隨著愈來愈多的瀏覽器與網路應用服務支援 SSL 加密,上述問題只會愈趨嚴重。其中尤以在台灣甚為風行的 Line 最為棘手,因為當前即使加解密方案仍無法解開傳輸之中採用專屬加密機制的 Line 內容。當前面對任何透過 Line 發送惡意程式的 APT 攻擊,唯一可以進行內容偵測的地方就是端點,這也是何以 Gartner 特別強調,偵測 APT 威脅必須在端點上進行的原因。
吳耿宏表示,並非所有 APT 攻擊活動都只能透過惡意中斷站的連線進行檢測,更重要的必須在端點上進行偵測。之所以如此,是因為惡意程式一定會在端點上解密,並在端點上展開特有行為,即使是利用零時差漏洞的攻擊碼也一定會在記憶體中加以執行,而且在真正的端點上,也勿需顧忌反沙箱技術的反制之舉。所以透過 EDR 方案便可在端點上取得詳細的執行資訊,進而提供最詳細的端點行為可視性,再搭配網路及端點分析機制,便能有效提升即時回應的能力。
將端點化為主動出擊 APT 利器的 Sentinel
面對傳統沙箱與反沙箱你攻我躲的無效偵測,中芯數據 Sentinel 為了能確實徹底地掌握 APT 威脅的攻擊行為,採用將每台端點裝置變成獨立沙箱的防護概念,並且結合巨量資料分析機制,即時地將監控資訊傳回到伺服器上進行分析,除了能降低端點資源負荷,也能展現持續不斷的端點監控與自動化行為分析能力,一旦有任何攻擊行為,便能即時回應與處理。
該 EDR 方案支援深植驅動程式層級的分析機制,故能對所有作業系統行為進行監控,不僅如此此舉凡系統程序、登錄機碼、檔案存取狀況,抑或零時差攻擊碼最愛常駐的記憶體,皆能深入加以監控、偵測與分析。
在部署上,中芯數據 Sentinel 提供適合各種企業需求的彈性化私有雲部署架構,該架構大致劃分成分析層、蒐集層及端點,同時透過 Sentinel 蒐集器,即使偏布全球之端點裝置的監控資訊,都能集中蒐集送往分析平台上進行即時分析與回應處理,不失為當前因應 APT 與目標式攻擊的建議方案。