2013年,大量資料外洩,企業系統遭受入侵個案上升六成。外洩敏感資料,導致了嚴重損失。網絡盗竊漸漸發展成一門犯罪,而且沒有國界。系統保安無法遏止入侵,主因針對性攻擊增加,罪犯有組織及計畫行事,乘目標機構弱點攻入,偷取機密和客戶資料;過去一年,從信用卡、醫療紀錄、登入密碼,幾乎予取予攜。去年五月份,eBay系統入侵,直接令客戶活動下跌;Target更面臨客戶大額訴訟和賠償。
這些所謂「零日攻擊」,或稱為APT(Advanced Persistent Threat)之難以防範,乃針對受害者的系統,有步驟逐點擊破,並長期盤踞系統發動攻擊。
2014年,保安廠商Symantec公佈網上保安威脅報告,2013年針對性攻擊增加九成,這些惡意程式變種極快,從未有紀錄,防毒軟件發揮不了作用。攻擊方式更可能精心挑選某些內部員工,以熟悉發信人寄出電郵,附件內藏惡意程式,感染後再攻入有敏感資料的服務器;攻擊周期更長,也更難於防禦。而單純依靠防毒軟件、防火牆、甚至是偵察防禦系統,均未必可有效防禦。
跨國性攻擊大量增加
據Symantec亞太日本區網上保安服務高級總監Peter Sparkes分析,今年有多項系統弱點;包括Heartbeat和ShellShock等;網上有七成七網站暴露不同弱點。Symantec也公佈,發現國家級有組織間諜和破壞活動;其中Dragonfly組織專門攻擊能源、國防、航空事業。另外也發現極為先進攻擊網絡Regin,專門作情報刺控,其中不少活動,至今仍諱莫如深。
Sparkes說,不少系統高度設防,犯罪集團也可從下游系統供應商入手,攻擊軟件供應商。「當下載這些公司更新時,已內藏惡意程式。」
十月開始本港「黃色雨傘佔中運動」,也引起國際黑客組織Anonymous的關注,並且宣佈向港府、警方、不同政黨網站發動攻擊。Sparkes說,Symantec的保安管理服務也密切監察Anonymous活動,即時保護本港客戶,至今Anonymous並未造成破壞。
網上勒索案成行成市
另一項網上商業犯罪趨勢是通過加密檔案來進行勒索,稱之為Cryptomalware;受害人收到郵件打開附件後,硬盤上資料全被加密,被迫付款購買解密軟件。今年澳洲同類案件大幅上升十三倍。
Sparkes說,事實上不少公司已經明白,受攻擊入侵幾乎難免,保安策略已從單純加強保護,改變至設計偵察和反應的機制。問題在於,不少入侵活動難於發現。「六成以上的APT入侵,一個月內都無法偵察。」
Symantec雲端服務加入APT防禦
不少企業外判保安管理工作,從電郵過濾,清洗病毒和惡意程式,甚至是過濾網頁,防止用戶被釣魚程式,誘導至內嵌惡意程式網頁。全球不少企業,均依靠Symantec「保安管理服務」(Managed Security Services),透過全球多個保安中心聯線(Security Operation Center,SOC),廿四小時監察,內外配合,過濾電郵和網站。Symantec雲端服務一向有提供上述服務;今年再加入多項對付APT的技術,實時偵察和清除APT入侵。
Symantec保安中心先分析客戶系統活動,即時衡量風險。由於企業難以獨力籌建保安中心,優秀保安專家又難於聘請,加上Symantec全天候監察網上的活動,迅速獲悉新變種攻擊,馬上作出反應,本港及亞太區不少企業,都採用SOC監察入侵。
新的防禦機制,利用大數據分析和實時的網上分析,預先確認最新攻擊方式,然後更新資訊,不斷偵察入侵的可能性,一旦發現感染就作即時反應,清除和系統恢復。
「部分Web層面攻擊,攻擊先在用戶經常造訪的網頁加入惡意代碼,下載網頁馬上控制用戶機器,甚至毋須用戶介入,被稱為「Waterhole」攻擊。」
Symantec亞太區的SOC,分別位於印度清奈市(Chennai)和日本東京。最近,Symantec升級位於澳洲悉尼SOC,耗資達一千二百萬美元,成亞洲區內最先進的SOC,全方位防禦APT。
以往,不少企業靠SIEM(Security information and event management)偵察入侵,集結內部記錄檔( log ),透過事件關聯(correlation)識別入侵。但是SIEM經常誤傳警報;類似HP ArcSight和IBM QRadar的SIEM,甚至Splunk,設計和安裝甚為繁複,必須安裝大量代理程式之餘,分析也必須靠專門人員。
市場上也有類似保安事故分析的SOC代管服務,但Symantec則加入大數據分析,配合全球威脅的情報,經過濾和核實,確定威脅入侵風險後,才通知客戶Symantec的SOC最大價值,乃配合全球蒐集的威脅情報,Symantec和Norton仍是終端防毒的主要廠商,有超過兩億用戶群;從客戶端遙感傳回數據,加上近七千萬活躍感應設備探測網上攻擊,即時監察網上可疑URL、網站、IP位址,估計這些位置下載檔案的風險,再從客戶每年輸入達十兆行記錄檔,加入攻擊的最新形態,進行全天候監察。而實時情報配合記錄檔,加上研究客戶業務特性,篩選出最可疑的保安事故。
「Symantec內存的保安數據達150TB,每日分析二萬一千多宗保安事故。」Sparkes說:「客戶網站訪問大增,或有不尋常活動,未必是保安事故,可能是突發業務,誤傳警報令人難分真假攻擊。」Symantec的SOC即時分析憑客戶傳來的記錄檔,即時分析後,保安專家逐一分析,釐定風險水平,決定如何反應。 「SOC內專家經長期訓練,可準確判斷事故的嚴重性。」
以往,管理保安服務只集中於監察和過濾郵件和Web訊息,但Symantec配合新一代網絡保安設備;包括Palo Alto、思科Sourcefire、CheckPoint以至FireEye等設備傳回的訊息,配合從終端設備等;如用個人電腦、流動設備、服務器的訊息,同時參考從全球遙感的傳回數據,憑檔案來源及下載位址,一併研究,先剔除錯誤警報,並判斷檔案是否惡意,回傳訊息是否與C&C控制器有關。
新沙盒以實體機過濾APT
目前,偵察APT技術,以「沙盒」(Sandbox)技術為主,主要廠商包括了PaloAlto的WildFire和FireEye的NX,先在專屬設備內打開有可疑檔案,觀察是否有惡意行為。可是,上述兩者均採用虛擬機器VM;FireEye則採用特製機器,模仿實體機記憶體位址。但惡意程式一旦發覺正被VM檢查,或並非由人手開啟檔案,馬上按兵不動。針對目前技術的缺點,Symantec正開發稱為「Cynic」沙盒技術。
「Symantec從全球遙感蒐集惡意程式行為,馬上更新偵察的情報,通過全球情報網(Global Intelligence Network)總結,Cynic會以VM偵察,也會利用真正機器再安裝一次,模擬真正用戶開啟的動作,APT不知身處沙盒內受觀察。」
Cynic預計明年第二季推出,可取代FireEye的NX設備,準確檢查檔案APT。首階段會以雲端服務形式提供,再推出於企業內安裝Cynic設備,針對不容許檔案離開公司範圍的企業。
Symantec也發展出Synapse技術;同時整合從終端、電郵、防火牆和IPS等網絡設備傳回的數據,整合為同一管理介面,從三者關係對應推斷事故,掌握來龍去脈。Synapse可讓分析人員更快應對全球情報網傳回的最新狀況;如防火牆或IPS內容更新,馬上對應有問題的下載或檔案。
Symantec也在雲端電郵保安,加入Cynic檢查郵件附件和內容,加強Email Security.Cloud雲端電郵防禦APT入侵。
Symantec終端保安方案也加入抵禦APT功能,對終端設備上的可疑活動,有更高警惕和透視能力,也可即時向Cynic沙盒,傳送內容存疑檔案,先行檢查過濾,亦緊急結合後端SIEM,隨時作出反應,即時阻止下載。
Symantec通過保護電郵、終端設備,加上背靠全球情報網的Cynic和Synapse技術,準確判斷APT入侵,有如甕中捉鳖。
沒有留言:
發佈留言