2011年9月2日 星期五

企業已經是網路間諜瞄準的對象


企業已經是網路間諜瞄準的對象
駭客從2010年鎖定企業進行APT攻擊
這種駭客針對特定政府或企業,長期間進行有計畫性、組織性資料竊取的網路間諜行為,早從1998年起,就有蘇聯駭客針對美國官方等單位發動攻擊。臺灣因為政治情勢特殊,早期的資安攻擊事件都視為單一的資安事件,直到2003年9月,經調查發現,當時已經有駭客鎖定88個政府機關進行資料竊取的行動。此後,也確認臺灣政府已經是駭客長期鎖定竊取情資的對象。以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始,企業成為駭客鎖定竊取情資的受駭者越來越多,2011年甚至是駭客鎖定企業APT的一年。

日前EMC旗下資安公司RSA在今年3月17日發生資安產品SecurID的技術資料遭駭客
入侵竊取的事件,該公司總裁Art Coviello也在官網上發表一封「致RSA客戶的公開信」表示,遭到駭客利用類似先前入侵Google的APT(Advanced Persistent Threat,先進持續性威脅)攻擊手法,入侵該公司資料庫並竊取SecurID重要的技術文件。

目前全球有超過1,400萬名用戶使用RSA的SecurID權杖作為身分認證的工具之一,RSA發生遭到駭客入侵的事件發生後,也引發使用RSA權杖企業的不安,相當擔心SecurID權杖的技術資料遭到外洩後,是否意味著該公司既有的身分認證機制已經或即將崩潰呢?

RSA遭駭引發資安信心崩盤危機
Art Coviello雖然在公開信中對外表示,根據該公司所清查的外洩資料顯示,目前使用SecurID的硬體Token產品的企業用戶不用擔心遭到任何攻擊,而RSA也會根據這些日子針對該次APT攻擊所進行的各種資安補強行為,立即提供企業客戶後續的因應補強之道。Art Coviello也強調,除了技術文件外,該公司客戶和員工的個人資料並沒有遭到外洩之虞。

EMC RSA身為全球RSA加密演算法的創始公司,長期以來,深受全球各大企業的信賴,甚至,許多強調高機密等級的身分驗證時,都會選擇採用RSA的SecurID作為身分認證時的一個重要環節。

但是,當RSA發生遭到駭客利用APT的手法入侵該企業的資料庫,甚至竊取重要資安產品SeccurID的技術文件時,全球上千萬的SecurID的使用者都感到極大的恐慌,那就是,如果RSA作為全球第一等級的資安公司,在其資安防護上,也是層層把關,務求防護滴水不漏。那讓人不禁要問,為什麼RSA還會遭到駭客攻陷?更慘的是,連重要的資安技術文件,都淪為駭客手中對外叫囂宣示的戰利品呢?

再加上,Art Coviello第一時間雖然已經在官網上坦言受害,並且以調查不公開為由,拒絕公開更多遭竊細節。在當時,雖然有許多重要的大型企業,在第一時間就已經收到RSA相關人員,對於使用SecurID產品後續安全性功能補強的通知,據了解,仍有部分中型企業並未在第一時間收到通知。

RSA的作法,在當時也讓一些中型企業開始提心吊膽,不知道該企業是否也會跟RSA一樣,成為下一波駭客攻擊的對象之一?是否也會因為駭客手中已經握有企業採用SecurID權杖的技術文件,對入侵這些使用SecurID的企業將如入無人之境、暢行無阻呢?這一切的答案在當時,都因為RSA認為調查不公開,讓許多企業用戶擔心受怕。

相較於EMC RSA公司的信誓旦旦,事發當時,許多國外媒體、分析師甚至是資安研究員對於RSA並未揭露足夠資訊感到憤怒與不安,像是發明Blowfish加密演算法的資安專家Bruce Schneier便在他的部落格中撰文表示,資安是一種信任的行業,沒有信任也就沒有安全了。他認為,在RSA沒有公開真正被偷的資料內容為何,以及了解SecurID的加密演算機制時,根本無從評估這起事件的受害範圍與程度,而RSA的作法也失掉原有客戶的信任。

當然,除了Bruce Schneier的大聲疾呼、要求RSA必須公開更多受駭細節資料的同時,RSA也在第一時間建議企業應該立即做的9件事情,藉此降低企業的安全風險。但是,這起SecurID技術文件外洩事件,也讓RSA面對有史以來最大的客戶信心崩盤危機。

駭客鎖定APT的攻擊特色
 
● 具有高度針對性
● 資金來源充裕
● 具有高竿的資料情報分析人員
● 具有讓自己潛伏並保持低調的技術能力
● 擁有多重面向和多樣工具的攻擊方式
 
APT這種先進持續威脅的攻擊手法重點在於「低調且緩慢」,駭客如何在不引起人注意的前提下,利用各種複雜的工具與手法,包括應用各種手機竊聽、衛星監控、社交工程和在系統內植入木馬程式等方式,在不被發現的前提下,能夠長期並持續關注、收集特定個人或組織的各種相關事物和資訊。

這些發動APT攻擊的駭客目的往往不是為了在短時間內獲利,而是藉由持續的監控,直到能徹底掌握所針對的目標人、事、物。以往這類攻擊手法都針對政府和某些政治狂熱份子為主,後來陸續傳出針對企業的攻擊案例。發動這種APT攻擊手法的駭客,都以能夠長期滲透IT系統與組織為目標,往往具有很好的攻擊與入侵技巧、有特定動機,甚至具有豐沛的資金。

 
 趨勢科技研發工程師翁世豪表示,APT這種網路間諜攻擊就是針對特定對象的資料竊取行為。
臺灣趨勢科技研發工程師翁世豪則表示,這種APT的攻擊手法,因為是隱匿自己,針對特定對象,長期、有計畫性和組織性的竊取資料,這種發生在網際空間的偷竊資料、蒐集情資的行為,就是一種「網路間諜」的行為。

由許多大型金融業和資安公司組成的營運創新資安委員會(Security for Business Innovation Council)日前針對APT發表一份對抗APT資安系統的建置策略白皮書中,也歸納出5種APT典型的攻擊方式,包括:具有高度針對性、資金來源充裕、具有高竿的資料情報分析人員、具有讓自己潛伏並保持低調的技術能力,以及擁有多重面向和多樣工具的攻擊方式。

鬼網(Ghost Net)資安事件調查作者Nart Villeneuve日前來臺參加臺灣駭客年會時曾表示,早期美國軍方在談論的APT威脅指的是中國網軍,但隨著後來有許多企業和非政府組織也陸續遭到這樣針對性的APT威脅,經常因為查不出來確切的攻擊者,加上攻擊手法精細且複雜,都讓APT成為政府和企業難以阻擋防禦更是難以察覺的資安威脅。

沒有留言:

張貼留言