企業投資APT解決方案前該思考的問題

仍有多家政府機構、企業遭受APT攻擊，並造成資料外洩的嚴重損失。企業逐漸意識到APT攻擊的威脅，加上主管機關正式發文關注轄下單位對新興網路威脅的因應與防範措施，企業開始積極評估APT解決方案，也因此市場上各種針對APT的資安產品更是五花八門。

許多企業已經了解到傳統的資安設備無法有效抵禦APT威脅，因此開始積極評估新的APT解決方案。在Websense委託Ponemon Institute所進行的研究調查中亦指出，有 47% 的受訪者表示，他們的組織對於現有的安全投資感到失望或極度失望。如果有資源與機會的話，29%的受訪者將對企業現有的安全系統進行徹底的檢測。將近半數 (49%) 的受訪者表示，在未來 12 個月內將進行大幅投資以及調整網路安全防護架構。

值得注意的是，58%的受訪者認為安全廠商過度地渲染企業面臨的威脅以及風險。且47%的受訪者表示，他們的組織經常買到令人失望的資安設備。因此，對於好不容易爭取而來的資安預算，該如何有效評估解決方案，並提升最佳投資效益，以下是我們建議企業應先思考的6個問題：

1.SSL (HTTPS) 佔網路流量的比例和可視性

公司對外HTTPS流量是否能解析過濾？當今網頁信箱、雲端硬碟，甚至入口網站等網路服務都已走HTTPS連線，對於這些加密的連線內容企業是否進行管控？是否了解公司內HTTPS流量佔網路流量的比例如何？目前台灣地區企業HTTPS 的平均流量將近 50%，但許多企業的防禦設備仍未能分析這些流量，這也意味著安全防禦，只做了一半。

在資料外洩事件中，越來越多攻擊者利用第三方網站，例如Dropbox或社群網站當作他們存放資料的地方，以避免被偵測出為資料外洩事件。因此APT解決方案必須能完整監控對外的HTTPS連線內容。

2.APT架構 VS 效能

為了解析HTTPS流量以監看所有行為，許多資安設備都在閘道端對HTTPS流量進行解密，但每個資安設備都去做HTTPS解密勢必會影響效能，以及各資安設備之間產生界接問題，因此必須思考要在哪個設備上進行解密，能夠最有效及全面的分析HTTPS流量，企業應該從整體架構上考量，合併或汰換過時的防禦節點，而非在導入防護時，不斷的架設設備，甚至重覆的做解密，或是因為效能及界接問題，使得導入的安全防護最終放棄HTTPS流量的分析。

3.是否可以同時涵蓋Web及Email管道，並具備即時防護及阻擋的功能

APT攻擊透過電子郵件的附件夾帶惡意檔案，或著惡意連結，使用戶端電腦淪陷，亦可透過「水坑式攻擊」在用戶端瀏覽網頁時，內藏惡意連結進行攻擊，企業所評估的解決方案是否可同時涵蓋此兩種管道，同時能在使用者動作執行時，如開啟郵件或點下連結就即時檢測，並能即時阻擋可疑的攻擊行為。由過去的經驗來看，只做監控分析的解決方案，需要有人員專注於事件的分析，往往在上線一段時間後，在目前企業IT人員人力吃緊的現實環境下，無法及時分析有效處理。

4.APT解決方案應具備資料竊取防護功能，而非僅限於惡意檔案行為分析

APT攻擊的最終目的是要竊取重要資料，因此即便駭客採取全新的攻擊戰術或使用零時差漏洞進行攻擊，威脅殺傷鏈(Kill Chain)層層展開，最後防線是必須能保護重要資料不被竊取。許多APT攻擊最後能成功帶走資料，是因為採取低調方式，使用自訂的格式，一點一滴將資料傳送出去，這種水滴式資料竊取(drip data exfiltration)，幾乎能成功繞過資料安全機制的監控，讓管理者毫無所覺。

因此APT解決方案應具備資料竊取防護功能，包括掃描出站內容的各種資料內容、識別可疑的加密格式、並且能夠有時間性的累計計算能力，利用水滴式資料防護(data drip protection)技術以辨識緩慢的資料竊取。

5.為避免沙箱技術防護盲點，應具有各階段APT攻擊進程全面防護能力

沙箱只是惡意程式檢測技術的其中一種，亦只是威脅殺傷鏈的其中一項防禦技術，APT解決方案須能針對攻擊進程各階段進行全面防護，包括誘騙、重新導向、惡意網站、與遠端C&C連線、防護資料竊取等，以建立縱深防禦的策略及架構。

6.從系統管理便利性與誤報率

許多解決方案僅依靠沙箱技術進行分析，所產出的告警資訊需要從技術細節與實際環境關聯分析，排除可能的誤報，因此常常需要經由資安專家進行分析判讀後，企業資安人員才知道如何採取下一步行動，若企業資安團隊並非以研究分析為主要工作職責，選擇此類產品則需另仰賴外部服務人力，因此解決方案是否具備管理上的便利性，能提供可行動的建議，是企業應考量的重點之一。

APT攻擊七階段

綜合上述六點，企業在評估APT解決方案時，應破除沙箱就等於完全防護APT的迷思，而應從APT攻擊的7階段：偵察、誘騙受害者、網頁流量重新定向、執行漏洞工具包、安裝木馬檔案、自動回報以及關鍵資料竊取，來思考如何佈署層層防禦，檢視目前的防禦架構，進行整體考量，汰換層層架構過時的產品，佈署能夠及時分析加密流量，並具備資料竊取行為分析以及時阻擋能力的方案，才能有效阻斷威脅殺傷鏈，不讓最終關鍵資料被帶走，造成企業莫大損失。