網絡威脅層出不窮,除愈趨複雜精密,低調進行長期性入侵的進階持續性威脅(Advanced Persistent Threat,APT),近年亦相繼引爆多宗大規模網絡攻擊事件,引起國際關注。南韓近月來便連番遭受APT大規模攻擊。
今年3月,黑客針對南韓主要銀行、媒體以及個人電腦,發動大規模的多重攻擊,導致包括當地3大銀行及3家電視台、合共約48700部電腦及伺服器遭受影響。攻擊主要針對目標的更新伺服器(patch management server)佈署惡意程式,造成受攻擊企業內部的電腦全面無法開機,運作被迫停頓;另一攻擊則針對南韓的企業網站,有的網站遭攻擊停頓,有的網站則是用戶造訪時,均會被導向至位於海外的假網站,並被要求提供許多個人資訊。及後,「黑暗首爾幫」再於韓戰爆發63周年紀念日,向韓國雲端儲存服務商SimDisk發動攻擊,透過其自動更新系統散佈至用戶端,建立殭屍網絡及發動DDoS,攻擊試圖癱瘓政府網站。與3月的攻擊比較,黑客將攻擊提升到另一層次,將以前只利用入侵組織內更新伺服器的手法,擴展至入侵雲端寄存商。
助主要銀行避過大規模攻擊
趨勢科技顧問李浩然透露:「第一波攻擊正確發動時間為本年的3月20日下午2時,惟趨勢科技早於去年6月28日已偵測到異常,包括1590次來自多達40個國家,以及1000個不同互聯網位址(IP)的存取請求、魚叉式網路釣魚(Spear phishing)活動、伺服器及防火牆日誌被刪改等記錄,甚至企圖以管理員身份操控DNS並散佈惡意程式。趨勢科技即時向當地的銀行客戶發出預警,並阻隔了可疑的存取請求,因此該銀行於3月的攻擊中並未受到波及。」
他續闡釋,當日被偵測到的67種惡意程式當中,僅9個具備破壞性,其餘的只會潛伏於受感染電腦及系統,不斷盜取資訊後回傳至控制中心。「APT益發精密,不少更會包藏在一般正當文件如Word檔案內,由於系統不會掃描合法的內部文檔,故APT往往能成功避開病毒掃描耳目,待適當時機方發動攻擊;加上目前約63%APT為客製化惡意程式,專門針對特定攻擊目標而設計,一般保安方案實難以辨識。」
ATSE實時阻截98%惡意程式
趨勢科技Deep Discovery由主動式雲端防護系統Smart Protection Network推動,提供自訂偵測、情報及回應功能。而新推的Deep Discovery 3.5版本,更是專為對抗APT威脅而設,擁有先進惡意程式偵測技術先進威脅偵測引擎(ATSE),能於1秒內成功偵測異常網絡活動,掃描範圍包括電郵、PDF、Word文件等是否遭受濫用,如電郵標題會否不尋常地大,並可關聯不同攻擊次序中每個階段的事件。據李浩然指,ATSE能實時偵測到高達98%的惡意程式,餘下更複雜的2%威脅則交由自訂沙盒技術(Sand Box)處理,確保能為企業用戶辨別和分析難以發現的惡意程式、文件漏洞、弱點、惡意指令,及操控C&C伺服器通訊及攻擊者行為。
Deep Discovery網絡偵測和自訂沙盒分析功能,可辨別魚叉式網絡釣魚電郵、分辨其中隱藏的惡意程式和文件漏洞,以及發現攻擊者利用的外部指令及操控站點。企業掌握這些可轉化為行動的情報後,可立即停止或修補任何受影響系統,以及堵塞所有惡意通訊源。新版本Deep Discovery能通過完整的「偵測-分析-適應-反應」週期來應付APT,擴展及整合現有保安設施,因應企業的獨特環境,來建立自訂防禦方案。Deep Discovery與網絡、閘道及端點保安方案整合及共享安全更新,能全方位提升防護及對抗攻擊。其自訂威脅情報及安全事件分析功能,更可迅速隔離攻擊和進行補救。
沒有留言:
發佈留言