Palo Alto Networks台灣區總經理陳宗祈網路攻擊可以被歸納成一個六階段的生命週期,企業若部署適當的安全措施,就能在其中任一個階段破壞攻擊週期,保護企業的網路和資料,而那些欠缺適當安全保護的企業只能任憑網路犯罪者擺佈。
多階層安全防護能力對於跨國商業行為密集的台灣尤為重要,例如刑事局去年即破獲跨國網路犯罪集團以電子郵件進行駭客入侵,導致數間企業匯款至錯誤帳戶,損失逾 1 億元。除此之外,行政院副院長張善政今年表示,台灣目前遭受數量龐大的大陸駭客鎖定攻擊,甚至以台灣做為其最先進駭客攻擊試驗場,再度證實台灣的網路攻擊嚴重性。
網路攻擊生命週期是指攻擊者滲透網路和竊取資料的程序。企業需要將多重威脅預防能力建置到安全平台,以確保能在每一個攻擊階段都提供防護。
在這六個階段的每一階段都有一些方法可用來破壞週期,預防攻擊者遂行其惡意目的並保護網路的完整性。
- 偵查:攻擊者通常使用網路釣魚的手法,或者從員工的社交媒體簡歷或公司網站擷取公共資訊。他們利用這些資訊製作看似信任度極高的內容,發送給目標企業的員工以誘使他們點擊連結。其結果將會下載惡意軟體,而攻擊者即利用那些惡意軟體找出可用來侵入網路的安全漏洞、服務與應用程式。
為了破壞這個第一階段攻擊週期,企業可以利用 URL 網址過濾技術來預防攻擊者惡用社交媒體與網站資訊。企業應使用入侵與威脅預防技術,持續的檢測網路流量,以偵測並預防通訊埠掃描 (port scan) 和主機掃描 (host sweep) 攻擊。
- 植入攻擊武器(惡意程式碼):攻擊者利用多種方法例如在檔案或電子郵件嵌入惡意碼,或者針對個人的特定興趣而製作釣魚訊息。
企業可以利用新一代防火牆來破壞這個週期。新一代防火牆可以提供所有流量的完整監控資訊,並且封鎖所有高風險的應用。企業可以運用多重威脅預防措施,包括入侵預防系統 (IPS) 、反惡意軟體、反指揮與控制 (anti-CnC) 、 DNS 監控與流量清洗 (sink holing) 、以及檔案與內容阻斷技術等,封鎖已知的入侵威脅、惡意軟體,以及對內的 (inbound) 指揮與控制 (command-and-control) 通訊。
- 發掘漏洞:攻擊者一旦取得網路存取權,就可以啟用攻擊碼並掌控目標系統。
某些端點防護技術可用來封鎖已知和未知的安全漏洞。例如,沙盒 (sandboxing) 技術能夠自動提供有關惡意軟體與威脅的全球情資,以預防對其他組織進行後續攻擊。
- 安裝:攻擊者利用諸如 root kit 等工具程式以取得特權、提升特權、並且將惡意軟體永久藏匿在企業網路。
對此,企業可以利用端點防護技術,預防遭攻擊者發掘漏洞而導致權限濫用和竊取密碼。新一代防火牆可以設定安全區,實施嚴格的使用者存取控制,以及持續監控和檢測這些安全區之間的流量。
- 指揮與控制:攻擊者建立一個連接伺服器的通道,以便於讓資料在遭感染的裝置和伺服器之間往返。
有數種方法可以用來破壞這個攻擊週期。企業可以透過反指揮與控制特徵碼 (anti-CnC signatures) 封鎖對外的指揮與控制通訊。 URL 網址過濾技術可以封鎖連接已知惡意 URL 的對外通訊,並且將惡意的對外通訊重新導引到內部的誘捕系統 (honey pot) 以便於辨識和封鎖遭入侵的主機。
- 遂行惡意目的:攻擊者基於本身的目的而入侵網路,其動機包括竊取資料、破壞關鍵基礎設施與勒索。
企業若已建置了分級的應用與使用者控制,即可透過檔案傳輸政策預防駭客使用已知的檔案傳輸手法來竊取資料。這個方法可以讓攻擊者使用非法工具和腳本程式的能力受到限制。
藉由部署正確的防火牆、反惡意軟體與端點保護方案,企業可以中斷這六個步驟的任一個環節,破壞網路攻擊生命週期。針對惡意 URL 和指揮與控制 (CnC) 攻擊而部署的自動化保護,能夠避免成本高昂的人工程序並且讓企業在對抗最新的攻擊技術時佔有優勢。