新闻链接：
http://www.ithome.com.tw/news/95148
新闻时间：
2015-04-14
新闻正文：
近2年屡屡发生重大网路攻击事件，甚至还有出现多起由国家出资发动的网军攻击，包括中国、伊朗、北韩、俄罗斯，以及另一股新兴势力叙利亚，目前都在积极培养网军作战的能力，使得全球网路资安战争走向白热化。而过去曾担任美国五角大厦资安官、现任FireEye副总裁暨全球政府业务部门技术长Tony Cole，近日来台时也揭露台湾APT攻击的最新趋势。

锁定亚洲国家发动APT攻击，台湾排第2

根据FireEye最新报告显示，台湾去年下半年已成为亚洲地区遭遇APT（进阶式持续攻击）威胁最多的国家之一，仅次于香港，名列亚洲第2，更一举超越了韩国，超过半数的台湾FireEye企业客户，半年内曾遭受网路攻击，反映出台湾近年来已成为骇客攻击的首要目标。

Tony Cole表示，这些锁定台湾发动的APT攻击，部份来自国家机构发动的网军攻击，且大多都是由中国策画发动，借此获得经济上的利益，他也说，这些网军部队很大特性是进入门槛很低，只要有一台电脑和网路，就可以进行攻击渗透。

而在组织犯罪方面，Tony Cole说，多数则针对医疗产业的APT攻击，将近2成5的比例锁定医疗业者做为攻击目标，透过窃取医疗或健保资料，从事不法的利用，同时也有2成比例针对政府机构及电信商发动的攻击。

Tony Cole依长期以来的观察指出，骇客从事APT攻击一般分为5个阶段，包括初期入侵（Initial Compromise）、窃取凭证（Credential Harvesting）、水平扩散（Lateral Movement）、远端存取（Remote Access ）以及数据外泄（Data Exfiltration）。他认为，要成功阻止骇客攻击，最重要的是在初期入侵的第一阶段才可有效防堵，一旦当入侵成功后，骇客就会透过加密管道或使用正常工具，来取得机密资料，而难以侦测得到。

Tony Cole也说，曾看过一名骇客入侵系统窃取资料，过程只需短短7分钟就完成，反观若要企业或政府机构察觉，已遭骇客入侵，平均得花上205天。而这段期间，也被他称之为防御空窗期，骇客可畅通无阻在企业或政府内部取得任意资料。甚至，当中也有近7成（69%）企业还是因为第三方机构，如执法机关通知才得知已遭骇客渗透。 「这也代表很多企业直到现在仍缺乏自我检测的能力。」他说。

有漏洞就一定会遭攻击

靠着多年全球资安事件调查的经验，Tony Cole指出，当企业面对APT威胁时，必需先假设，企业网路如果存在有漏洞或弱点，就一定会被渗透，而且无一幸免，如此才有办法及早阻止受骇灾情扩大。

不过面对敌我攻防战力的差距，Tony Cole不认为企业就会一面倒的打输这场战争。他说，已经有看到越来越多国家机构或企业，开始意识到资安重要性，并改变了资安策略或升级基础设施来找出网路骇客攻击的蛛丝马迹，加以阻断，像是遭遇到骇客入侵，也能够在很短时间内加以辨识后，迅速找到攻击的源头。

因此，比起将这些网路攻击通通堵在门口，Tony Cole反而认为企业得建立新的资安观念，例如分析恶意程式的特征或IP等找出攻击来源，同时运用智慧威胁技术来阻断攻击，另外也透过即时自动分享，在政府和企业，以及政府与政府之间，建立起资安联防和分享管道。

面对骇客组织规模和攻击复杂度急剧增长，Tony Cole也建议台湾政府除了持续监控恶意攻击行为外，更重要是建立一套自动通报的分享机制，一旦政府部门发现这些入侵行为，能透过通报平台，很快将攻击资讯传递出去，好比说，会攻击外交部的骇客，也可能转而攻击国防部。此外当企业遭遇到骇客入侵时，也能以匿名方式分享威胁资讯。

他更进一步表示，政府最终要对抗的不是这些恶意程式或病毒，而是潜藏在病毒身后的幕后攻击者，因此，资安政策也得具有弹性，根据不同的攻击状况来分配调度。

不过，Tony Cole也认为，2015年发生大规模破坏性攻击的比例将会攀升，例如，骇客掌握了重要的基础设施发动毁灭性攻击等。此外，未来国与国之间发动的网军攻击，亦将扮演更重要的军事角色。而受到之前发生大量零售业资料外泄的影响，他同样认为锁定POS销售系统的恶意攻击，将会在2015～2016年有持续增长的趋势。

Blue Coat亚太区资讯长Matthias Yeo日前在2015台湾资安大会上针对新世代APT（进阶式持续攻击）威胁，提出安全防护与资安策略。

面对持续潜伏APT攻击，Matthias Yeo说，因应关键不在于企业是否有办法找到预防方法，而是在于及早发现入侵系统的源头，才能降低受骇灾情。

Blue Coat曾以骇客及企业为调查对象，发现有超过8成（84%）骇客宣称从发动攻击到入侵企业，只需数分钟到数小时就能攻破，反观，有将近8成（78 %）企业表示要发觉已遭骇客入侵攻击，往往得花上数礼拜，甚至数月时间，显示出双方攻防武器差距悬殊。

Matthias Yeo表示，传统的安全防护工具，举凡像是资安事件管理平台（SIEM）、入侵防御系统（IPS）及防火墙等，皆是仰赖事前先设置好应对的规则，一旦侦测到不符合该规则的网路流量就加以排除。

不过，当面对无法应对的未知攻击，如APT攻击等，这些安全防护设备往往就无计可施，甚至，有的恶意程式还会刻意绕过规则攻击。不仅如此，很多网路攻击都隐藏在加密流量中，即便是像IPS或次世代防火墙（NGFW）也无法检测，因而降低恶意程式的能见度。

Matthias Yeo也以人体免疫系统来比喻，他说，如果要预防身体感冒，事前可以透过健康饮食、摄取营养品及慢跑等，来增强抵抗力，即便感冒发生后，也能藉由医院诊断或住院治疗，来让身体恢复健康。

然而，在APT攻击预防上，他表示，企业虽然可以透过像是部署防火墙、IPS、Web安全闸道器等预防机制来抵御外来攻击威胁，但在提供诊断修复上却仍缺少足够的防护机制。

要提供企业安全诊断修复，Matthias Yeo说，企业不能只靠着传统的防御方法，而是得加入新的侦测机制，像是采用安全分析平台（Security Analytics Platform）来分析异常Logs，找出导致攻击入侵的根本原因，进而从源头直接阻断。

他也说，透过这种安全分析平台，除了加强外部安全防护，也能提升企业内部安全检测能力，像是提供了如情境感知（Situational Awareness）、事件应对（Incident Response）、数据遗失侦测与分析（Data Loss Monitoring & Analysis）、连续性监测（Continuous Monitoring）、进阶恶意程式侦测（Advanced Malware Detection）、Web管控与安全强化（Web Control and Security Enforcement），以及安全性政策及IT管理、风险与规范遵循（Policy & ITGRC）等防护。

与此同时，在最近一次企业CIO调查上，Matthias Yeo也观察到，有高达4成以上（44%）的企业CIO在面对APT攻击威胁时，最担忧的不是来自外部的目标式攻击，反而是来自于潜藏企业内部的威胁，例如人为疏失而产生漏洞造成骇客渗透。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课