-
-
[转载]前美国五角大厦资安官:台湾是亚洲第2大APT重灾区
-
发表于: 2015-9-7 20:35 2863
-
新闻链接:
http://www.ithome.com.tw/news/95148
新闻时间:
2015-04-14
新闻正文:
近2年屡屡发生重大网路攻击事件,甚至还有出现多起由国家出资发动的网军攻击,包括中国、伊朗、北韩、俄罗斯,以及另一股新兴势力叙利亚,目前都在积极培养网军作战的能力,使得全球网路资安战争走向白热化。而过去曾担任美国五角大厦资安官、现任FireEye副总裁暨全球政府业务部门技术长Tony Cole,近日来台时也揭露台湾APT攻击的最新趋势。
锁定亚洲国家发动APT攻击,台湾排第2
根据FireEye最新报告显示,台湾去年下半年已成为亚洲地区遭遇APT(进阶式持续攻击)威胁最多的国家之一,仅次于香港,名列亚洲第2,更一举超越了韩国,超过半数的台湾FireEye企业客户,半年内曾遭受网路攻击,反映出台湾近年来已成为骇客攻击的首要目标。
Tony Cole表示,这些锁定台湾发动的APT攻击,部份来自国家机构发动的网军攻击,且大多都是由中国策画发动,借此获得经济上的利益,他也说,这些网军部队很大特性是进入门槛很低,只要有一台电脑和网路,就可以进行攻击渗透。
而在组织犯罪方面,Tony Cole说,多数则针对医疗产业的APT攻击,将近2成5的比例锁定医疗业者做为攻击目标,透过窃取医疗或健保资料,从事不法的利用,同时也有2成比例针对政府机构及电信商发动的攻击。
Tony Cole依长期以来的观察指出,骇客从事APT攻击一般分为5个阶段,包括初期入侵(Initial Compromise)、窃取凭证(Credential Harvesting)、水平扩散(Lateral Movement)、远端存取(Remote Access )以及数据外泄(Data Exfiltration)。他认为,要成功阻止骇客攻击,最重要的是在初期入侵的第一阶段才可有效防堵,一旦当入侵成功后,骇客就会透过加密管道或使用正常工具,来取得机密资料,而难以侦测得到。
Tony Cole也说,曾看过一名骇客入侵系统窃取资料,过程只需短短7分钟就完成,反观若要企业或政府机构察觉,已遭骇客入侵,平均得花上205天。而这段期间,也被他称之为防御空窗期,骇客可畅通无阻在企业或政府内部取得任意资料。甚至,当中也有近7成(69%)企业还是因为第三方机构,如执法机关通知才得知已遭骇客渗透。 「这也代表很多企业直到现在仍缺乏自我检测的能力。」他说。
有漏洞就一定会遭攻击
靠着多年全球资安事件调查的经验,Tony Cole指出,当企业面对APT威胁时,必需先假设,企业网路如果存在有漏洞或弱点,就一定会被渗透,而且无一幸免,如此才有办法及早阻止受骇灾情扩大。
不过面对敌我攻防战力的差距,Tony Cole不认为企业就会一面倒的打输这场战争。他说,已经有看到越来越多国家机构或企业,开始意识到资安重要性,并改变了资安策略或升级基础设施来找出网路骇客攻击的蛛丝马迹,加以阻断,像是遭遇到骇客入侵,也能够在很短时间内加以辨识后,迅速找到攻击的源头。
因此,比起将这些网路攻击通通堵在门口,Tony Cole反而认为企业得建立新的资安观念,例如分析恶意程式的特征或IP等找出攻击来源,同时运用智慧威胁技术来阻断攻击,另外也透过即时自动分享,在政府和企业,以及政府与政府之间,建立起资安联防和分享管道。
面对骇客组织规模和攻击复杂度急剧增长,Tony Cole也建议台湾政府除了持续监控恶意攻击行为外,更重要是建立一套自动通报的分享机制,一旦政府部门发现这些入侵行为,能透过通报平台,很快将攻击资讯传递出去,好比说,会攻击外交部的骇客,也可能转而攻击国防部。此外当企业遭遇到骇客入侵时,也能以匿名方式分享威胁资讯。
他更进一步表示,政府最终要对抗的不是这些恶意程式或病毒,而是潜藏在病毒身后的幕后攻击者,因此,资安政策也得具有弹性,根据不同的攻击状况来分配调度。
不过,Tony Cole也认为,2015年发生大规模破坏性攻击的比例将会攀升,例如,骇客掌握了重要的基础设施发动毁灭性攻击等。此外,未来国与国之间发动的网军攻击,亦将扮演更重要的军事角色。而受到之前发生大量零售业资料外泄的影响,他同样认为锁定POS销售系统的恶意攻击,将会在2015~2016年有持续增长的趋势。
Blue Coat亚太区资讯长Matthias Yeo日前在2015台湾资安大会上针对新世代APT(进阶式持续攻击)威胁,提出安全防护与资安策略。
面对持续潜伏APT攻击,Matthias Yeo说,因应关键不在于企业是否有办法找到预防方法,而是在于及早发现入侵系统的源头,才能降低受骇灾情。
Blue Coat曾以骇客及企业为调查对象,发现有超过8成(84%)骇客宣称从发动攻击到入侵企业,只需数分钟到数小时就能攻破,反观,有将近8成(78 %)企业表示要发觉已遭骇客入侵攻击,往往得花上数礼拜,甚至数月时间,显示出双方攻防武器差距悬殊。
Matthias Yeo表示,传统的安全防护工具,举凡像是资安事件管理平台(SIEM)、入侵防御系统(IPS)及防火墙等,皆是仰赖事前先设置好应对的规则,一旦侦测到不符合该规则的网路流量就加以排除。
不过,当面对无法应对的未知攻击,如APT攻击等,这些安全防护设备往往就无计可施,甚至,有的恶意程式还会刻意绕过规则攻击。不仅如此,很多网路攻击都隐藏在加密流量中,即便是像IPS或次世代防火墙(NGFW)也无法检测,因而降低恶意程式的能见度。
Matthias Yeo也以人体免疫系统来比喻,他说,如果要预防身体感冒,事前可以透过健康饮食、摄取营养品及慢跑等,来增强抵抗力,即便感冒发生后,也能藉由医院诊断或住院治疗,来让身体恢复健康。
然而,在APT攻击预防上,他表示,企业虽然可以透过像是部署防火墙、IPS、Web安全闸道器等预防机制来抵御外来攻击威胁,但在提供诊断修复上却仍缺少足够的防护机制。
要提供企业安全诊断修复,Matthias Yeo说,企业不能只靠着传统的防御方法,而是得加入新的侦测机制,像是采用安全分析平台(Security Analytics Platform)来分析异常Logs,找出导致攻击入侵的根本原因,进而从源头直接阻断。
他也说,透过这种安全分析平台,除了加强外部安全防护,也能提升企业内部安全检测能力,像是提供了如情境感知(Situational Awareness)、事件应对(Incident Response)、数据遗失侦测与分析(Data Loss Monitoring & Analysis)、连续性监测(Continuous Monitoring)、进阶恶意程式侦测(Advanced Malware Detection)、Web管控与安全强化(Web Control and Security Enforcement),以及安全性政策及IT管理、风险与规范遵循(Policy & ITGRC)等防护。
与此同时,在最近一次企业CIO调查上,Matthias Yeo也观察到,有高达4成以上(44%)的企业CIO在面对APT攻击威胁时,最担忧的不是来自外部的目标式攻击,反而是来自于潜藏企业内部的威胁,例如人为疏失而产生漏洞造成骇客渗透。
http://www.ithome.com.tw/news/95148
新闻时间:
2015-04-14
新闻正文:
近2年屡屡发生重大网路攻击事件,甚至还有出现多起由国家出资发动的网军攻击,包括中国、伊朗、北韩、俄罗斯,以及另一股新兴势力叙利亚,目前都在积极培养网军作战的能力,使得全球网路资安战争走向白热化。而过去曾担任美国五角大厦资安官、现任FireEye副总裁暨全球政府业务部门技术长Tony Cole,近日来台时也揭露台湾APT攻击的最新趋势。
锁定亚洲国家发动APT攻击,台湾排第2
根据FireEye最新报告显示,台湾去年下半年已成为亚洲地区遭遇APT(进阶式持续攻击)威胁最多的国家之一,仅次于香港,名列亚洲第2,更一举超越了韩国,超过半数的台湾FireEye企业客户,半年内曾遭受网路攻击,反映出台湾近年来已成为骇客攻击的首要目标。
Tony Cole表示,这些锁定台湾发动的APT攻击,部份来自国家机构发动的网军攻击,且大多都是由中国策画发动,借此获得经济上的利益,他也说,这些网军部队很大特性是进入门槛很低,只要有一台电脑和网路,就可以进行攻击渗透。
而在组织犯罪方面,Tony Cole说,多数则针对医疗产业的APT攻击,将近2成5的比例锁定医疗业者做为攻击目标,透过窃取医疗或健保资料,从事不法的利用,同时也有2成比例针对政府机构及电信商发动的攻击。
Tony Cole依长期以来的观察指出,骇客从事APT攻击一般分为5个阶段,包括初期入侵(Initial Compromise)、窃取凭证(Credential Harvesting)、水平扩散(Lateral Movement)、远端存取(Remote Access )以及数据外泄(Data Exfiltration)。他认为,要成功阻止骇客攻击,最重要的是在初期入侵的第一阶段才可有效防堵,一旦当入侵成功后,骇客就会透过加密管道或使用正常工具,来取得机密资料,而难以侦测得到。
Tony Cole也说,曾看过一名骇客入侵系统窃取资料,过程只需短短7分钟就完成,反观若要企业或政府机构察觉,已遭骇客入侵,平均得花上205天。而这段期间,也被他称之为防御空窗期,骇客可畅通无阻在企业或政府内部取得任意资料。甚至,当中也有近7成(69%)企业还是因为第三方机构,如执法机关通知才得知已遭骇客渗透。 「这也代表很多企业直到现在仍缺乏自我检测的能力。」他说。
有漏洞就一定会遭攻击
靠着多年全球资安事件调查的经验,Tony Cole指出,当企业面对APT威胁时,必需先假设,企业网路如果存在有漏洞或弱点,就一定会被渗透,而且无一幸免,如此才有办法及早阻止受骇灾情扩大。
不过面对敌我攻防战力的差距,Tony Cole不认为企业就会一面倒的打输这场战争。他说,已经有看到越来越多国家机构或企业,开始意识到资安重要性,并改变了资安策略或升级基础设施来找出网路骇客攻击的蛛丝马迹,加以阻断,像是遭遇到骇客入侵,也能够在很短时间内加以辨识后,迅速找到攻击的源头。
因此,比起将这些网路攻击通通堵在门口,Tony Cole反而认为企业得建立新的资安观念,例如分析恶意程式的特征或IP等找出攻击来源,同时运用智慧威胁技术来阻断攻击,另外也透过即时自动分享,在政府和企业,以及政府与政府之间,建立起资安联防和分享管道。
面对骇客组织规模和攻击复杂度急剧增长,Tony Cole也建议台湾政府除了持续监控恶意攻击行为外,更重要是建立一套自动通报的分享机制,一旦政府部门发现这些入侵行为,能透过通报平台,很快将攻击资讯传递出去,好比说,会攻击外交部的骇客,也可能转而攻击国防部。此外当企业遭遇到骇客入侵时,也能以匿名方式分享威胁资讯。
他更进一步表示,政府最终要对抗的不是这些恶意程式或病毒,而是潜藏在病毒身后的幕后攻击者,因此,资安政策也得具有弹性,根据不同的攻击状况来分配调度。
不过,Tony Cole也认为,2015年发生大规模破坏性攻击的比例将会攀升,例如,骇客掌握了重要的基础设施发动毁灭性攻击等。此外,未来国与国之间发动的网军攻击,亦将扮演更重要的军事角色。而受到之前发生大量零售业资料外泄的影响,他同样认为锁定POS销售系统的恶意攻击,将会在2015~2016年有持续增长的趋势。
Blue Coat亚太区资讯长Matthias Yeo日前在2015台湾资安大会上针对新世代APT(进阶式持续攻击)威胁,提出安全防护与资安策略。
面对持续潜伏APT攻击,Matthias Yeo说,因应关键不在于企业是否有办法找到预防方法,而是在于及早发现入侵系统的源头,才能降低受骇灾情。
Blue Coat曾以骇客及企业为调查对象,发现有超过8成(84%)骇客宣称从发动攻击到入侵企业,只需数分钟到数小时就能攻破,反观,有将近8成(78 %)企业表示要发觉已遭骇客入侵攻击,往往得花上数礼拜,甚至数月时间,显示出双方攻防武器差距悬殊。
Matthias Yeo表示,传统的安全防护工具,举凡像是资安事件管理平台(SIEM)、入侵防御系统(IPS)及防火墙等,皆是仰赖事前先设置好应对的规则,一旦侦测到不符合该规则的网路流量就加以排除。
不过,当面对无法应对的未知攻击,如APT攻击等,这些安全防护设备往往就无计可施,甚至,有的恶意程式还会刻意绕过规则攻击。不仅如此,很多网路攻击都隐藏在加密流量中,即便是像IPS或次世代防火墙(NGFW)也无法检测,因而降低恶意程式的能见度。
Matthias Yeo也以人体免疫系统来比喻,他说,如果要预防身体感冒,事前可以透过健康饮食、摄取营养品及慢跑等,来增强抵抗力,即便感冒发生后,也能藉由医院诊断或住院治疗,来让身体恢复健康。
然而,在APT攻击预防上,他表示,企业虽然可以透过像是部署防火墙、IPS、Web安全闸道器等预防机制来抵御外来攻击威胁,但在提供诊断修复上却仍缺少足够的防护机制。
要提供企业安全诊断修复,Matthias Yeo说,企业不能只靠着传统的防御方法,而是得加入新的侦测机制,像是采用安全分析平台(Security Analytics Platform)来分析异常Logs,找出导致攻击入侵的根本原因,进而从源头直接阻断。
他也说,透过这种安全分析平台,除了加强外部安全防护,也能提升企业内部安全检测能力,像是提供了如情境感知(Situational Awareness)、事件应对(Incident Response)、数据遗失侦测与分析(Data Loss Monitoring & Analysis)、连续性监测(Continuous Monitoring)、进阶恶意程式侦测(Advanced Malware Detection)、Web管控与安全强化(Web Control and Security Enforcement),以及安全性政策及IT管理、风险与规范遵循(Policy & ITGRC)等防护。
与此同时,在最近一次企业CIO调查上,Matthias Yeo也观察到,有高达4成以上(44%)的企业CIO在面对APT攻击威胁时,最担忧的不是来自外部的目标式攻击,反而是来自于潜藏企业内部的威胁,例如人为疏失而产生漏洞造成骇客渗透。
赞赏
看原图
赞赏
雪币:
留言: