不少人以為,香港成為網絡攻擊目標的可能性甚低,商業機構也疏於防範。但其實新一代網絡攻擊屬於零日攻擊,甚至是專門針對設計的惡意程式,稱為APT(Advanced Persistent Threat)「進階持續性滲透攻擊」,沒有國界也難以去年,香港金融管理局曾發出通告,要求持牌金融機構提高風險意識。擁有全球偵察APT最先進技術的FireEye調查發現,據2005年上半年的數據,香港受APT影響的客戶達五成,為亞太區內為之冠,較全球平均還要高。亞太區最少受APT影響的國家首推日本,只有兩成企業受襲。
傳統IT保安不能偵察APT,病毒掃描和入侵防禦(Intrusion Prevention Systems , IPS),均以指紋檔(Signature)辨認病毒或惡意程式,APT沒有指紋檔案(Signature)可供辨認,故傳統工具無法察覺,只有靠先進的機制偵察,類似「安全與資訊事件管理解決方案」(SIEM)。
全球保安事故響警報
全球APT引發保安事故日益嚴重。去年九月十五日,金管局亦正式向持牌金融機構發出通告,呼籲高層管理正視網絡攻擊風險。金管局甚至提醒,機構董事局必須負責IT保安和保護敏感數碼資產。
金管局確認,IT保安屬於董事局及高層管理責任範圍;更特別提醒,APT可長期潛伏於系統內不易偵察,讓非授權人士有可乘之機,存取系統資料甚至破壞系統運作。
事實上,本港有媒體、學府、金融機構、公共事業,甚至政府部門,曾受APT攻擊。FireEye大中華區總經理徐海國說,本港暫未有法例要求上市公司,公開披露系統受攻擊,遂有錯覺以為,本港受攻擊機會較低。事實上,本港受攻擊情況普遍,甚至有APT長期潛伏於系統內。
「新一代APT更難偵察,可化整為零,進入系統後再組合,甚至可以辨認硬盤選擇攻擊對象。」徐海國說:「SIEM誤報率(False positive)較高,有時難以確定入侵,所以出現類似FireEye保安產品。」
「外國不少大學和研究機構皆曾受入侵,竊取知識產權。娛樂和金融機構身份盗竊更猖獗;假如不防範APT,難保有更多突發外洩事故,不單止影響業務運作,嚴重破壞商譽。」
IT保安須第二防線
「傳統的防火牆和IPS等仍屬必須,因為可過濾傳統攻擊的噪音;而類似FireEye針對零日攻擊技術,屬於第二線的防守,以防止APT潛入。」
據國際研究機構Delta Testing測試,FireEye的NX7500設備破解APT偵察率,高達99%,比業內平均17%高出不少。FireEye甚至可檢查加密的物件;例如SSL加密通訊;大部分惡意程式,皆利用SSL加密與指揮的C&C服務器保持通訊,伺機發展攻擊。
去年,新出現22個獨特零日攻擊的惡意程式,FireEye發現其中16個。每日FireEye分析物件達五百億個,通過前線分析人員,獲得第一手情報。專業團隊則負責協調企業內部團隊,應付突發保安事故。去年底,本港上市的偉易達集團受攻擊,引致資料外洩,事後聘請FireEye屬下Mandiant顧問服務,協調和應付保安事故。
全球最大支付機構Visa亦宣佈與FireEye合作,推出Visa Threat Intelligence協助全球的Visa商號和發卡機構,應付支付網絡攻擊。
網絡攻擊不再漁翁撒網,而是針對特定目標發動攻擊;甚至對內部員工有一定認識,向某些員工寄發虛假電郵,APT甚至匿藏於下游系統供應商升級軟件,極難防範。類似Symantec等保安廠商,甚至推出訓練計畫,提高員工防範意識徐海國說,沒有系統可完全防範入侵,即使對外封閉「關鍵基建設施」(Critical Infrastructure)也不能倖免。香港警方也極注重關鍵基建設施的防禦,每年均向全港各持份者介紹APT最新動向,可見APT已成為最大隱患。
Have used AVG security for a couple of years, I would recommend this product to everyone.
回覆刪除