何謂進階攻擊以及為何您應當關心這個問題 |
概述: |
|
進階攻擊是每個人都會面臨到的問題。手法熟練的攻擊者不僅針對國家、基礎架構、各行各業,同時也會針對個人。這些攻擊者不僅極為隱密而且持續威脅資安,其所建立的新技術能夠使他們得以隱匿行蹤,同時危及您的防禦機制與重要資料。您有哪些值得竊取的資料?客戶資訊等珍貴資料就是其一。手法熟練的攻擊者為了獲得利益,會讓您身陷財務損失與信譽受損等風險。試想如果競爭對手確實掌握您的經營模式,您會損失多少客戶。
一切不僅止於威脅這麼簡單。現在您必須付出的代價更高,因為攻擊變得越來越先進複雜。攻擊者使用先進工具更迅速地潛入網路,大多數的企業根本來不及啟動防禦機制。攻擊者一旦入侵網路後就可隱匿數年,持續竊取企業與客戶資料也不會被偵測到。對您而言,任何有價值的東西,都是攻擊者值得鎖定的目標。
攻擊者不斷進化,我們也不能落後。其中一個明顯跡象是攻擊者所採取的專業態度。他們的手法不斷演進。網路犯罪企業現在擁有自己的名稱,還開發商標替自己宣傳。此外,他們也經營客服中心、編寫自己的程式碼文件,甚至週末假日也會放假。攻擊者會竊取重要資料並癱瘓企業,無論企業規模大小都處於風險之中。1這就是進階攻擊者,也就是我們所謂的專業進階攻擊者—我們都必須與之對抗。因此,我們需要提升自己的防禦能力。
本簡介旨在協助您瞭解進階攻擊、專業攻擊者部署威脅的手法,以及賽門鐵克如何協助您防禦這些威脅。 |
|
|
進階攻擊與威脅如何演進? |
|
此外,攻擊者使用了更加複雜的技巧散佈惡意程式。他們擁有可以製作變種的軟體,只需擷取單一惡意程式並改變其外貌,就能躲避偵測;有些甚至每15秒就可以製作出全新變種。3也有攻擊者會對竊取的資料進行多重植入 (drop),藉此隱匿蹤跡並躲避偵測。攻擊者進入您的基礎架構後,會使用特殊工具 (有時會利用您的軟體) 隱匿行蹤,並透過網路周遊於端點系統與伺服器之間。他們一旦得逞,就會將您的資料傳輸到遠端指令與控制伺服器,然後加以銷售或利用以獲取利益。
因此,您需要多項技術共同提供多層式防護,以確保企業安全。威脅帶來的不只是煩惱而已。進階攻擊會癱瘓企業,而且攻擊對象不限於報紙上常見的知名企業。任何企業都有可能成為目標。 |
|
|
|
|
|
目標式攻擊: |
|
所有企業都可能遭受目標式攻擊,而魚叉式網路釣魚與水坑式攻擊則是最常用的手法。
魚叉式網路釣魚透過看似來源合法的電子郵件,以特定企業中的個人為目標。魚叉式網路釣魚攻擊會引誘受害者點按連結或下載檔案,藉此感染使用者的系統並進行散播,進而感染其他使用者。賽門鐵克指出,針對企業特定部門所進行的網路釣魚次數不斷攀升,複雜度也明顯增加。 |
|
|
|
在水坑式攻擊中,攻擊者會分析受害者與他們經常造訪的網站。當攻擊者找到容易入侵的網站時,會將程式碼植入該網站。此程式碼會將受害者重新導向至攻擊者控制的另一個網站,攻擊者再利用該網站執行漏洞的攻擊程式碼。簡單來說,遭入侵的網站會
以零時差攻擊「等待」感染遭鎖定的受害者,如同獅子在水坑等待獵物一般。 |
|
|
|
零時差漏洞: |
|
零時差漏洞是應用程式中未被發現的弱點,罪犯可利用此弱點將惡意程式植入電腦中。這就如同陌生人找到住家大門的鑰匙一樣。駭客在修補程式推出前探索並利用安全弱點,就稱為「零時差」漏洞 (意指在遭到入侵之前開發人員「沒有時間」修正問題)。
2015 年發現的零時差漏洞數量超過前一年的兩倍,平均每週就會發現一個全新的零時差漏洞。6這類漏洞存在於各類軟體,但最吸引目標攻擊者的是廣泛使用的軟體,例如 Internet Explorer與Adobe Flash Player。
發現零時差漏洞後,網路罪犯會迅速地將它們加入攻擊清單並伺機發動攻擊。此時如果尚未推出修補程式,或是使用者未能即時套用修補程式,將有數百萬名使用者受到攻擊,以及成千上萬的電腦遭到感染。
發現漏洞的駭客會將零時差攻擊販售給其他駭客與企業。簡單來說,這些零時差攻擊會以程式碼武器化 (weaponized code) 的方式銷售;可說是一筆大生意。Forbes.com 的文章指出,根據目標軟體的使用範圍以及找到零時差攻擊的困難度而定,零時差攻擊的售價為 5,000至250,000 美元不等
零時差漏洞一直以來都令人困擾,但隨著市場蓬勃發展,這些攻擊的獲利增加,數量也越來越多。攻擊來得越快,我們就越容易暴露在風險之中。容易讓您受到零時差攻擊的漏洞,可能會使企業損失慘重。 |
|
|
|
勒索軟體: |
|
現今廣為流傳的主要勒索軟體形式有兩種。鎖定型勒索軟體 (鎖住電腦) 會鎖住螢幕,拒絕存取電腦或裝置,而加密型勒索軟體(鎖住資料) 會透過加密方式阻止存取檔案或資料。這兩種手法是使用網路釣魚機制或網頁瀏覽器漏洞入侵系統、拒絕您存取檔案,且必須收到贖金才會歸還理應屬於您的資料。
勒索軟體不斷演變。這不僅是消費者會面臨的威脅,未來將出現更多針對企業的目標式勒索軟體攻擊。目前有 99% 的勒索軟體均採隨機方式攻擊,撒下網後能捕捉多少受害者就盡量捕捉。網路罪犯襲擊全球數百萬名使用者,即便只有少部分受害者支付贖金,詭計仍有利可圖。
勒索軟體通常對企業無法發揮效用,原因在於企業都會備份檔案。企業只要將檔案還原,所有人就能正常作業。以往攻擊者成功的機率非常渺茫。
然而最近發生幾起令人矚目的重大事件,事件中的企業受到勒索軟體感染並支付數千美元將檔案贖回。這些公司中有部分員工按下網路釣魚垃圾電子郵件中的連結後,檔案忽然遭到加密。公司在驚慌之餘支付贖金取回檔案。
這樣會使攻擊者群起效尤。其他攻擊者發現公司會支付贖金,瞭解公司並未確實備份檔案,便會更致力於攻擊。現在網路犯罪集團試圖破解企業防護勒索軟體的作法,也就是備份作業。只要他們攻擊成功並獲得贖金,其他集團就會開始效法。對於企業來
說,勒索軟體攻擊成功不僅會損失員工生產力,更糟的是,重要檔案會被鎖住並遭到勒索。 |
|
|
|
進階持續性威脅: |
|
除了較常見的攻擊方法外,進階持續性威脅 (APT) 通常會使用特別為該攻擊行動開發的高度自訂的工具與入侵技巧。APT 通常同時會啟動多項威脅來入侵目標,確保能夠持續存取目標系統。有時會採用「犧牲打」式的威脅來欺騙目標,讓目標認為已成功抵擋攻擊。
APT 攻擊是一種長時間的過程,在此期間,攻擊者會慢吞吞又靜悄悄地動作,避免被偵測到。這一點和許多由較典型的網路罪犯所發動的目標式攻擊採取的「強取豪奪」手法正好成反比,APT的目的是透過「低調又緩慢」的動作避免被偵測到,在攻擊者達到他們設定的目標前,持續監控和互動。
隨著攻擊媒介、系統及攻擊者目標的數量逐漸成長,採用單一方式維護安全的方法再也無法確保資料安全;您必須使用多種防護技術。且,您也需要快速應變端點威脅,更加主動防禦惡意攻擊。 |
|
|
賽門鐵克智慧型端點解決方案 |
|
瞭解您面對的攻擊只是維護企業安全的第一步。若要對抗專業化的進階攻擊者,您必須提升防禦能力。本章節將介紹賽門鐵克如何為您提供協助: |
|
- 盡可能攔截各種威脅,以免您的端點遭受感染。
- 迅速偵測所有控制點的異常狀況,如果遭到入侵還可矯正所有威脅。
- 只要按一下滑鼠,即可矯正 IT 環境中偵測到的詭詐威脅。
- 利用自動化風險評估與策略規劃來改善安全態勢,預防日後的攻擊行動。
- 防止遺失或遭竊的端點外洩資料。
|
|
|
在端點遭受感染前攔截進階威脅 |
|
在端點遭受感染前攔截進階威脅,是維護端點安全的關鍵。Symantec™ Endpoint Protection 可攔截零時差與未知威脅,準確度高達 99.99%。
Symantec Endpoint Protection 的入侵預防系統 (Intrusion Prevention System,簡稱IPS)功能是網路層級防禦零時差攻擊與網頁式攻擊的第一道防線。我們的信譽型防護與行為監控功能也針對勒索軟體及未知威脅提供了重要防禦功能。信譽分析功能可以運用賽門鐵克全球威脅情報,精確找出可疑檔案,誤報率低於0.01%。行為監控功能使用先進的機器學習演算法觀察電腦上的程式運作,並即時阻止可疑檔案執行。
賽門鐵克透過多層式防護,以及賽門鐵克威脅專家持續訓練與微調的進階機器學習功能,防止進階威脅感染端點。傳統的機器學習僅仰賴單一分類工具偵測全新的攻擊跡象,例如惡意檔案或網址。而賽門鐵克是使用多面向的機器學習方法分析網路使用者、軟體檔案及網站之間的互動。如此可進一步主動防範並降低誤報率。 |
|
|
偵測所有控制點的異常狀況 |
|
目標式攻擊與進階持續性威脅採用高度自訂的工具及入侵技術。此手法是專為長期攻擊活動所設計。
Symantec™ Advanced Threat Protection 是同類產品中成效最顯著的解決方案,能夠找出端點、網路及電子郵件中的威脅。系統會提供偵測到威脅的事件警示,讓您找出高風險使用者,包括目前遭到感染的系統、正在下載惡意程式或可疑檔案的使用者、攻擊來源、受影響的資產,以及該威脅在所有控制點的散佈情形。
賽門鐵克運用雲端沙箱與 payload detonation 服務來捕獲可疑檔案。此服務結合賽門鐵克的進階機器學習與即時全球威脅情報。
偵測範圍涵蓋目標式攻擊中最常見的檔案類型,並在虛擬環境下(必要時會採用「裸機」環境) 執行這些檔案,以找出「可感知虛擬機器」的威脅。由於進階威脅在不同環境中行為改變,因此必須採用實體與虛擬沙箱偵測。
此外,Symantec Advanced Threat Protection協助您篩選數千種未知威脅,進而專注處理最嚴重的威脅;系統通常會標示 1% 到 2%最可疑的威脅。此外還利用獨特的Synapse™ 交叉比對技術,提供攻擊的完整證據。您也可以依據檔案雜湊、登錄機碼或來源 IP 位址及網址,調查攻擊並搜尋整個基礎架構的攻擊跡象。 |
|
|
只要按一下滑鼠,即可矯正最隱匿的威脅 |
|
一旦在IT環境中偵測到威脅,便可迅速矯正。Symantec Advanced Threat Protection 可以在遭受目標式攻擊後快速恢復正常運作,而且只要幾分鐘就可遏止並矯正所有威脅。我們的端點偵測與回應 (EDR) 技術讓您可以在同一處查看所有攻擊資料,包括特定攻擊使用的檔案、來源電子郵件地址,以及員工下載檔案的IP位址。您只需按一下就可矯正任何威脅跡象。快速偵測與矯正可降低潛在風險,並控管因散播攻擊帶來的危害。
由於Symantec Advanced Threat Protection 已與 Symantec Endpoint Protection整合,因此您可以迅速查看Symantec Endpoint Protection是否成功防範威脅,進而大幅減少資安事端與威脅警示。無須部署全新端點代理程式即可預防、偵測及矯正威脅。 |
|
|
利用自動化風險評估與策略規劃,預防日後的攻擊行動 |
|
賽門鐵克可協助您提前做好準備,以免成為攻擊受害者。Symantec™ Risk Insight可讓您全面檢視內部風險態勢與延伸企業,包括評析同業以檢視您的客戶。執行儀表板可協助您量化安全方案的成效、長期追蹤改善程度,並確認未來投資方向。此外,精細的深入追蹤功能與進階分析可協助您找出特定弱點,例如高風險使用者與端點、可疑應用程式及未修補的漏洞。
Symantec Risk Insight 還可回答下列問題:「我所有區域的網路安全性是否足夠?」「某些個人是否為公司內部帶來較高風險?」「我的客戶是否會提高我的企業風險?」Symantec Risk Insight 與Symantec Endpoint Protection整合,可根據您的需求深入檢視並廣泛洞察,協助您做出重要的安全決策,無須佈建額外的代理程式、軟體或硬體。另外,還可運用自動化雲端服務簡化複雜的手動評估作業,讓風險評估變得更加簡單。有了Symantec Risk Insight,您就能主動預防進階威脅。 |
|
|
防止遺失或遭竊的端點外洩資料 |
|
Symantec Intelligent Endpoint 解決方案不僅能防止網路威脅,還能阻止端點的「實體威脅」。如果您的裝置遺失或遭竊,端點加密便不可或缺。端點遺失時,這是保護筆記型電腦、桌上型電腦及抽取式媒體資料的最佳方法,因為即便端點遺失,資料仍安全無虞。
Symantec™ Endpoint Encryption 使用開機前密碼保護裝置,必須輸入正確密碼才能開機。若沒有密碼,裝置上的資訊會維持亂碼狀態,防止不明人士存取資料。利用符合直覺的集中化管理平台,萬一裝置遺失,賽門鐵克就能協助系統管理員確認裝置受到加密保護。 |
|
|
總結 |
|
進階攻擊來勢洶洶,而且比以往更加複雜。一般網路罪犯的行為相當專業,鎖定目標後勢在必得。企業無論規模大小及產業類型,都有遭受攻擊的風險。若要搶先在進階攻擊之前防禦,光靠攔截還不夠。您不能只仰賴防毒軟體或任何單一防護技術,因為這對於攻擊者來說相當容易破解。
對抗進階攻擊者最有效的防禦方式是多層式防禦,藉此可提前攔截大多數威脅,以免受到感染;如果惡意程式入侵成功也能快速偵測並矯正;同時還能提供自動化風險評估功能,協助您瞭解風險狀態並化解企業所面臨的嚴重攻擊。 |
|
|
|
|
|