什麼是端點安全?用端點管理遠離 APT 攻擊!
端點是什麼?
所有連網裝置都可稱為端點。無論是桌上型電腦、筆記型電腦、行動裝置、工作站、伺服器、印表機、影印機…等透過網路進行通訊的裝置皆可稱之端點。而端點安全就是保護端點不受惡意程式或未授權者入侵,造成資料外洩與其他損失。
端點安全防護為何重要?
- 端點安全防護可以避免企業機密、個人隱私等訊息外洩或損毀,並保護數據排除未經授權的查詢。
- 可以偵測和清除惡意軟體的威脅,讓終端設備和整個系統不受到攻擊。
- 可以監控和控制終端的使用情形,防止不當的操作造成系統崩潰或故障。
- 企業需要遵守政府的各種安全隱私法規,端點安全防護可以確保企業符合相關的法規需求。
常見的端點安全威脅
Zero-Day 零時差攻擊
在程式被發現安全漏洞且尚未修補前所發生的攻擊行為,被稱為 Zero-Day 攻擊。因為漏洞修補需要時間,也許是 0 天或幾天後,但當漏洞被公開,駭客的攻擊隨即可能出現,常見的 Zero-Day 攻擊就是發生在漏洞被發現後第 0 天。
APT 進階持續性威脅
最常見的 APT(Advanced Persistent Threat,進階持續性滲透攻擊)是利用網路釣魚手法偽裝成看似無害的電子郵件和惡意軟體,入侵用戶端系統獲取敏感資料、商業秘密或政府相關資訊。而魚叉式釣魚攻擊是利用郵件發送到特定的個人或組織進行竊取,像是在電子郵件中埋入預設網址,讓受害者點擊連至網站下載安裝惡意程式的騙局。這種具有針對性目標攻擊的手法,已成為駭客攻擊的標準公式。
新興的商業勒索活動
勒索活動是新型態的惡意手法,針對使用者或系統的檔案加密,犯罪分子會要求使用者支付贖金,以換取解密密鑰。勒索採用的加密算法通常是高階 - AES +、RSA 426、RSA 1024 和 RSA 4096。企業和個人會被迫支付贖金,但卻不能保證一定能收到正確的解密密鑰。
常見的贖金是利用比特幣、現金、亞馬遜禮品券、小額支付或西聯匯款的形式。發件人通常會要求受害人在特定時間內支付,否則部分資料將被銷毀。勒索程式已有許多變種,而傳統防禦產品的功能只著重在比對與檢測,必須有人曾被勒索並提報給資安公司,才能將該程式分析為威脅。這顯然不是有效的事前防護。
黑名單機制已無法防範最新駭客攻擊
過去大多依靠安全防護產品的特徵碼(黑名單)識別和應付威脅(防毒軟體、入侵偵測、垃圾郵件過濾…等)。但傳統的安全防護機制僅可辨識已知的惡意攻擊,針對 APT 與勒索攻擊,即使更新至最新的黑名單資料庫,仍無法及時辨識駭客散佈的最新攻擊程式。像是提款機遭 APT 攻擊取款事件、常見的加密勒索攻擊手法等等,都是利用黑名單防禦產品的缺口(無法分析未知)的攻擊。
簡單來說,若是採用比對黑名單資料庫的防護方式,一旦未知程式不在黑名單內,防護系統會忽略其風險而放行。但是當駭客散佈新型態的攻擊程式時,這些未知程式都尚未被發現,更別說有新的黑名單資料庫可以提供保護。因此,傳統的黑名單安全防護機制遇到未知程式是沒有辦法解決。
未來的端點安全挑戰
網路犯罪集團正伺機而動,駭客們技術高超可能偽裝是銀行寄出的電子帳單、當地慈善機構的詢價信件,或從大學校友會發出的召集令,希望你更新你朋友和校友資訊。當你點閱這類郵件或打開附件、下載文件,就表示他們已經順利取得你系統的主控權或私密資料。最糟糕的是,你可能永遠不會知道。這是一個進階持續性的惡意威脅(APT)。
APT 是企業電子郵件系統的漏洞,網路犯罪集團以釣魚網站,欺騙用戶開啟看似無害的電子郵件和下載惡意軟體。
根據 Verizon 的資料報告說明,「大家都需要警惕,我們看到的間諜活動範圍,從大型跨國公司到沒有 IT 員工的單位皆有受害者,無一倖免。」該報告定義的 APT 來自三種類型,包括:
- 組織犯罪
- 國家附屬或代理機構
- 政治和社會運活動人士
Verizon 公司指出,「超過 95% 的攻擊是透過網路釣魚綁架國家的附屬機關,網路釣魚通常是作為其發動入侵受害者系統的初始手段。」由報告得出結論,從小型企業到財富 1000 強公司和美國聯邦機構,大多無法預防網路犯罪集團以網路釣魚方式發送的電子郵件所夾帶的 APT 攻擊。
很難預防 APT 攻擊的其中一個原因是,APT 活動類似一般正常的用戶端行為模式攻擊,比較難被檢測或防範。常見的是利用網路釣魚和 SQL Inject 注入式攻擊取得訪問網路和機密資料,以看似無害的電子郵件和下載惡意軟體模式輕易的入侵用戶端系統。
雖然垃圾郵件發送者也會利用網路釣魚,但他們獲得的電子郵件名單混雜各種來源,通常真正會收到人數很少或根本信件已經被攔截。但 APT 攻擊卻是利用常見的方法讓訊息可以通過嚴密的網路過濾及防護機制,如:以銀行寄送電子帳單的方式,將攻擊程式寄送到用戶的系統,因此掌握大量客戶資料的金融單位,將是容易受到首波 APT 攻擊的主要因素。
捨棄「清除策略」的資安保守觀念
第一套防毒軟體在 1987 年上市,目的是要清除電腦病毒。但直到今天仍有多數的公司以此方式進行防護!這方式只針對遭受感染的檔案做隔離或刪除,卻忽略了如何避免被感染才是最重要的。
若用邏輯性去研究,當使用黑名單偵測比對機制會出現三種可能性:
- 該程式是安全的:若檔案沒有被感染。你的電腦當然沒問題。
- 該程式是惡意程式或已知感染病毒檔案:若該文件被已知的病毒感染,並被防毒軟體發現而進行清除,您的電腦依然沒問題。
- 若該文件或程式是未知類型的檔案:若文件被未知病毒或惡意程式感染,但黑名單並無定義,你將無法清除該病毒,您的電腦就可能被感染。
駭客顯然利用未更新黑名單的安全防護時差來攻擊電腦系統。許多資安專家已經意識到這種攻擊威脅,並提倡縱深網路安全方案,透過多層級的安全保護,才能有效強化網路安全運作。因為黑名單的策略只有一層保護,若一個惡意檔案通過黑名單的攔截,但藉由啟發式行為分析(Heuristic behavior analysis)偵測應用程式資料庫中尚無記錄的新惡意物件,它仍然有機會被確定為威脅,進而隔離阻絕。
為了讓系統與網路活動更安全,我們需要轉換新的安全防護思維。不能只是依賴黑名單檢測機制,更應積極掌握所有系統中的未知程式!
以「管理」為主的防禦手法
駭客目前只在家操作僵屍網路,寫出無法檢測到的惡意程式,發送惡意垃圾郵件就能輕鬆控制受害者的電腦並快速累積財富。反觀我們目前的資安管理,您是否清楚現在您的電腦或伺服器中,潛藏多少檔案已被未知的病毒或惡意程式感染?這就是為什麼防禦的觀念必須修正為「管理」,而不再是「檢測」。
若程式沒有被證明是安全的,它就不允許在電腦的作業系統執行,這就是信任程式(白名單)控管的觀念。而來路不明的程式應該被隔離在系統以外的環境執行,這就是沙箱的概念。沙箱是一個虛擬化的操作環境,程式可以在沙箱中與電腦系統隔離運行。若該程式是惡意的,它就無法損害電腦系統。
雖然越來越多資安公司採用「沙箱技術」,但沙箱多在雲端或閘道上獨立設置 VM 虛擬機器環境。而這種類型的 VM 沙箱,卻也陸續發生問題,為什麼呢?我們認真思考一下,APT 攻擊的第一步是散布惡意程式或是看似正常程式?答案是看似正常的程式。這代表您的 VM 沙箱在比對不到惡意行為後,會放行這些看似正常的哨兵程式,就不難想像接下來會發生怎樣的後果了。
不放行未知程式,才能真正杜絕漏洞
Comodo 安全管理是用預設攔截(Default Deny)和 Containment 沙箱技術架構封鎖未知的勒索程式,所有來路不明的應用程序都不允許存取系統文件和資料,並在 Containment 中隔離運行,是目前業界唯一可以對付未知威脅的可行方法。Comodo 更擁有獨家的 Viruscope 行為分析技術,監控 Containment 中的未知活動進程與行為,如果發現該程式具有惡意行為,就會立即進行隔離並終止程式運行。
Comodo 的多層系統防禦使用白名單來檢查已知程式,用黑名單來辨識與攔截惡意程式,並使用啟發式技術識別未知威脅。然而,用預設攔截阻斷未知程式執行,是因為在該程式尚未被判定為正常或惡意前,依然可能有未知威脅,所以預設攔截執行要求必須被驗證為「安全」才能在系統上運行。
或許這聽起來過於嚴格,但就如同我們在公司裝設的門禁管理系統一般,只有公司同仁可以自由進出,非公司同仁則需經過登記及會客區的隔離程序。對於所有未驗證和可疑的程式都會在 Containment 沙箱中運行。若被確定為惡意,除了不會對電腦作業系統有損害,更可從系統中永遠隔離具風險的未知程式,在漏洞尚未修補前防止駭客以漏洞植入後門程式,阻擋資安威脅!
