2012年1月18日 星期三

APT攻擊的防範之道


最近幾個月,稱之為APT(Advanced Persistent Threats)的威脅,讓許多企業開始擔心目前的安全防護是否完善。所謂的APT攻擊指的是先進、持續性的威脅,根據統計,目前主要活動地點包括台灣、香港和美國。這類攻擊通常鎖定特定的企業或組織,有計畫、長時間地滲透,主要目的是持續竊取資訊,而非立即獲得金錢上的回報。

APT攻擊意味著網路威脅已轉變成一種計畫縝密和具備長期目標的活動,雖然這個名詞近來相當熱門,但防護原則卻仍是基本、簡單而一致的。以下三點能有助於企業防範APT攻擊。
 首先需完善的使用者教育與安全政策。使用者常是防護體系中最弱的一個環節,且是病毒感染的首要目標。企業可以教育使用者,使其了解APT的感染方式與使用的社交工程技術。當然,這無法保證員工就永遠不會誤開遭到感染的文件,但至少IT管理者可以將存取權侷限在該員工僅需的範圍內。

其次是永遠讓系統保持在最新狀態。系統要隨時更新修補檔案,讓零日攻擊(zero-day)的空窗期儘可能縮短,降低系統漏洞曝露的潛在風險。最後是採行有智慧的備援安全計畫。企業需要多元的整合方法,來確保企業的IT資產安全無虞。防毒和入侵防護能力雖然相當重要,但企業同時也需要資料外洩防護(DLP)的科技方案,或進一步規劃一個更大藍圖的安全範疇。

沒有單一的安全防護層是安全無比,有智慧地整合它們才能抵禦威脅攻擊。因此,企業需要的安全防護層可以包括:

·有效防護多種方式的攻擊 
這與防護範圍有關,儘可能提供各種不同層級與方法的防護措施,包括郵件、即時傳訊、網頁攻擊、應用程式、惡意軟體和殭屍網路等等。

·堅實的資產防護 
包含網路、網頁程式、資料和資料庫、筆記型電腦和伺服器等各項IT資產,降低曝露在零日攻擊空窗期的時間,永保系統在最新狀態。

·應用程式控管 
企業可以進行應用程式通道、點對點或殭屍網路的監控,員工當然還是可以安全地存取社交網路,例如Facebook。殭屍網路的監控顯得特別重要,監控並封鎖通訊就能有效降低這些威脅。

·監控 
涵蓋整個架構的監控,可以針對任何真實或潛在的攻擊快速做出回應,並隨時擁有最新的威脅特徵檔,保護應用程式、網路、資料和DLP所需。

無論如何,安全防護層的多寡,以及預算和資源該投入多少,取決於風險可能造成的損害有多大。如果具備大量敏感性資料,或研判遭受APT攻擊機率與風險很大的企業組織,就毋須遲疑,可進一步採取預防措施,或重新審視和規劃安全防護的方法。

(本文作者現任Fortinet台灣區總經理)

沒有留言:

張貼留言