網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 此 報 告 由 FireEye 及 FireEye 旗 下 公 司 Mandiant 共 同 完 成
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 目 錄 執 行 摘 要...3 以 馬 其 諾 防 線 為 例...4 新 時 代 的 戰 爭...5 馬 其 諾 防 線 的 歷 史...5 網 路 安 全 的 馬 其 諾 防 線...6 第 一 線 資 訊...6 實 際 測 試...6 各 種 地 理 位 置 和 產 業...8 深 入 訪 談...8 來 自 前 線 的 事 實 : 測 試 結 果...9 抽 絲 剝 繭, 層 層 深 入...11 資 料 竊 取 : 大 小 資 料 無 所 不 偷...12 現 今 的 攻 擊 形 式...13 所 有 攻 擊 都 是 人 為 操 縱...13 現 今 的 攻 擊 會 分 段 進 行...14 現 今 的 攻 擊 會 使 用 多 種 威 脅 媒 介...14 現 今 的 攻 擊 會 暗 中 發 動 攻 擊...14 許 多 攻 擊 均 為 量 身 打 造...16 新 的 馬 其 諾 防 線...16 現 今 的 架 構 為 何 不 敷 所 需...16 跳 脫 沙 盒 的 思 維 框 架...17 入 埠 入 侵 與 二 進 位 檔...9 出 埠 CnC 呼 叫...10 結 論 及 建 議...18 封 面 : 在 二 戰 準 備 期 間, 法 國 馬 其 諾 防 線 部 分 的 炮 塔 簡 化 圖 2014 FireEye, Inc. 保 留 一 切 權 利 FireEye 是 FireEye, Inc. 的 註 冊 商 標 其 他 所 有 品 牌 產 品 或 服 務 名 稱 是 其 各 自 擁 有 者 的 商 標 或 服 務 標 記 2 www.fireeye.com
報 告 結 論 : 無 論 使 用 哪 一 種 防 火 牆 入 侵 預 防 系 統 (IPS) Web 閘 道 沙 盒 和 端 點 系 統 來 建 造 組 織 的 馬 其 諾 防 線, 攻 擊 者 都 有 辦 法 予 以 規 避 正 如 這 份 報 告 所 言, 若 要 有 效 地 保 護 自 己, 組 織 必 須 改 革 安 全 架 構, 不 再 只 是 依 賴 惡 意 軟 體 特 徵 碼 資 安 團 隊 必 須 要 能 看 出 重 大 警 示, 同 時 必 須 憑 藉 快 速 端 點 回 應 的 專 業 知 識 來 補 足 這 類 警 示 的 內 容, 以 便 在 攻 擊 出 現 時 便 立 即 確 認 並 加 以 遏 阻 執 行 摘 要 現 在, 大 多 數 人 都 體 認 到 馬 其 諾 防 線 是 歷 史 上 最 龐 大 的 無 用 之 作 這 條 由 法 國 政 府 投 入 巨 額 資 金, 為 因 應 第 二 次 世 界 大 戰 而 建 的 940 英 里 長 的 防 線, 在 面 對 全 新 型 態 的 作 戰 方 式 時 卻 毫 無 用 武 之 地 馬 其 諾 防 線 並 沒 有 完 全 失 敗 事 實 上, 它 成 功 地 抵 禦 了 幾 次 直 接 進 攻 但 德 軍 採 用 了 新 式 武 器 和 快 如 閃 電 的 奇 襲 戰 攻 擊 型 態, 繞 過 這 道 防 線, 從 比 利 時 進 攻 法 國 IT 安 全 性 產 業 也 面 臨 了 同 樣 的 困 境 許 多 組 織 花 了 超 過 670 億 美 元 在 IT 安 全 性 上 1 不 過, 攻 擊 者 通 常 能 夠 避 開 傳 統 工 具, 巧 妙 快 速 地 進 行 攻 擊, 破 壞 這 些 防 禦 措 施 就 像 馬 其 諾 防 線 一 樣, 目 前 普 遍 使 用 的 深 度 防 禦 安 全 模 式, 只 能 用 來 抵 禦 過 往 的 威 脅 如 果 用 在 今 天, 只 會 讓 所 有 組 織 面 對 頑 強 的 攻 擊 者 卻 束 手 無 策 現 今 的 深 度 防 禦 部 署 到 底 成 效 如 何? 很 遺 憾 地, 對 於 那 些 想 要 評 估 自 身 防 禦 措 施 的 組 織, 業 界 的 測 試 機 構 能 夠 提 供 的 協 助 相 當 有 限 精 密 控 管 的 實 驗 室 環 境 須 仰 賴 已 知 威 脅 的 樣 本 以 及 對 網 路 攻 擊 的 假 設, 但 此 類 資 料 可 能 早 已 過 時 或 殘 缺 不 全 在 實 驗 室 中 無 法 複 製 出 像 真 實 世 界 那 樣 難 以 預 測 又 瞬 息 萬 變 的 攻 擊 情 境 只 有 在 現 實 環 境 中, 才 能 真 正 測 試 出 一 項 產 品 的 成 效 本 報 告 所 提 供 的 正 是 這 樣 的 一 份 成 效 報 告 在 此 報 告 中, 我 們 針 對 取 自 63 個 國 家 / 地 區 超 過 1,216 個 從 事 20 多 種 不 同 行 業 之 組 織 的 真 實 資 料, 進 行 史 無 前 例 的 分 析 這 份 分 析 揭 露 了 一 個 漏 洞 百 出 的 深 度 防 禦 安 全 架 構 資 料 取 材 來 自 負 責 測 試 FireEye 網 路 與 電 子 郵 件 裝 置, 但 尚 未 全 面 受 到 FireEye 平 台 保 護 的 組 織 由 於 FireEye 網 路 設 備 是 配 置 在 所 有 傳 統 安 全 防 禦 措 施 的 後 端, 所 以 這 些 測 試 可 讓 我 們 清 楚 觀 察 其 他 正 在 使 用 中 的 安 全 防 護 層 2 因 此, 可 想 而 知, 所 有 FireEye 在 這 些 測 試 中 所 觀 察 到 的 威 脅, 都 已 突 破 了 組 織 中 其 他 所 有 的 安 全 防 護 層 重 大 發 現 包 括 : 97% 幾 乎 所 有 (97%) 的 組 織 都 曾 遭 到 入 侵, 這 表 示 至 少 有 一 位 攻 擊 者 已 突 破 深 度 防 禦 架 構 的 所 有 層 級 1/4 3/4 1.6 超 過 四 分 之 一 的 組 織 都 曾 經 歷 過 攻 擊 事 件, 且 已 知 這 些 事 件 與 進 階 持 續 威 脅 (APT) 發 動 者 所 用 的 工 具 和 策 略 一 致 四 分 之 三 的 組 織 都 有 主 動 的 命 令 與 控 制 通 訊 記 錄, 表 示 攻 擊 者 已 掌 控 遭 破 壞 的 系 統, 還 有 可 能 早 已 開 始 接 收 來 自 系 統 的 資 料 即 使 在 成 功 破 壞 組 織 之 後, 攻 擊 者 平 均 每 週 仍 會 試 圖 入 侵 一 般 組 織 一 次 以 上 1 Gartner 在 2013 年 6 月 11 日 的 新 聞 稿 表 示 : Gartner 宣 告 全 球 安 全 性 市 場 在 2013 年 將 成 長 8.7% 2 以 專 利 Multi-Vector Virtual Execution (MVX) 引 擎 為 後 盾 的 FireEye 裝 置 可 監 控 已 通 過 防 火 牆 入 侵 偵 測 與 防 禦 系 統 (IDS/IPS) 及 Web Proxy 的 Web 和 電 子 郵 件 流 量 MVX 引 擎 不 靠 二 進 位 特 徵 碼, 而 是 分 析 在 虛 擬 機 器 環 境 中 執 行 的 可 疑 檔 案 和 物 件, 因 此 能 夠 偵 測 到 其 他 深 度 防 禦 層 遺 漏 的 惡 意 活 動 FireEye 裝 置 亦 可 識 別 出 未 受 端 點 工 具 阻 止 之 惡 意 軟 體 的 命 令 與 控 制 流 量 3 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 以 馬 其 諾 防 線 為 例 法 國 政 治 家 兼 第 一 次 世 界 大 戰 統 領 喬 治 克 里 蒙 梭 有 一 句 名 言 常 為 人 所 稱 道, 他 說 : 將 軍 總 是 在 為 上 一 場 戰 役 做 準 備, 而 不 是 下 一 戰 3 他 從 不 知 道 這 些 話 多 麼 具 有 先 見 之 明 德 國 法 國 法 軍 雖 是 一 次 大 戰 中 的 戰 勝 者, 但 在 面 臨 全 新 又 陌 生 的 戰 爭 時 卻 潰 不 成 軍 圖 1: 顯 示 德 軍 在 1940 年 5 月 入 侵 法 國 的 地 圖 德 軍 使 用 奇 襲 式 的 攻 擊 方 式, 經 由 比 利 時 避 開 了 馬 其 諾 防 線 ( 插 圖 ) 馬 其 諾 防 線 中 的 炮 塔 炮 塔 的 建 設 嵌 入 地 底 深 處, 只 留 下 砲 筒 高 於 地 面 3 Valentine Williams. World of Action. 1938., 全 球 動 向 ) 4 www.fireeye.com
報 告 馬 其 諾 防 線 的 歷 史 在 克 里 蒙 梭 總 理 過 世 之 後 僅 僅 幾 年, 法 國 就 於 1929 年 開 始 在 法 德 邊 境 建 造 著 名 的 馬 其 諾 防 線 這 道 全 長 約 940 英 里 的 防 線 是 由 地 下 坑 道 要 塞 抵 禦 坦 克 的 障 礙 物 以 及 鐵 絲 網 所 組 成, 4 並 以 法 國 當 時 的 國 防 部 長 馬 其 諾 之 名 為 此 防 線 命 名, 希 望 能 抵 擋 為 一 戰 賠 款 的 制 裁 而 勃 然 大 怒, 敵 意 越 來 越 深 的 德 國 1931 年, 一 篇 雜 誌 報 導 詳 細 介 紹 了 這 道 防 線 的 設 計, 並 將 其 譽 為 全 球 最 固 若 金 湯 的 防 禦 系 統, 5 它 的 技 術 設 計 確 實 令 人 驚 嘆 ( 請 參 閱 本 頁 的 補 充 報 導 ) 新 時 代 的 戰 爭 但 這 一 切 都 是 徒 勞 在 德 軍 於 1940 年 五 月 入 侵 時, 戰 爭 型 態 已 由 第 一 次 大 戰 時 的 壕 溝 戰, 轉 變 成 快 速 移 動 的 奇 襲 戰 希 特 勒 的 軍 隊 避 開 馬 其 諾 防 線, 以 快 如 閃 電 的 氣 勢 從 比 利 時 進 攻, 將 法 軍 和 其 盟 軍 打 得 措 手 不 及 法 軍 將 大 筆 的 戰 前 經 費 花 在 建 造 馬 其 諾 防 線, 而 未 顧 及 添 購 現 代 化 武 器, 導 致 無 法 及 時 增 援 比 利 時 前 線 法 軍 在 此 次 戰 役 一 敗 塗 地, 不 到 六 週 後 即 宣 告 投 降 法 軍 雖 是 一 次 大 戰 中 的 戰 勝 者, 但 在 面 臨 全 新 又 陌 生 的 戰 爭 時 卻 潰 不 成 軍 當 時, 馬 其 諾 防 線 不 僅 是 一 項 了 不 起 的 軍 事 工 程, 也 是 世 界 上 有 史 以 來 最 先 進 的 防 禦 工 事 之 一 由 地 下 坑 道 要 塞 抵 禦 坦 克 的 障 礙 物 以 及 鐵 絲 網 所 建 成 的 防 線 就 豎 立 在 法 德 邊 境, 全 長 約 940 英 里, 在 義 大 利 邊 界 也 建 有 相 似 的 防 禦 措 施 最 大 的 幾 個 坑 道 內 架 設 了 大 砲 反 坦 克 迫 擊 砲 及 收 放 式 炮 塔 6 有 些 坑 道 最 深 可 達 30 多 公 尺, 寬 敞 的 空 間 可 容 納 1,000 隻 軍 隊 和 充 足 的 糧 食 飲 水 與 其 他 補 給 品 錯 綜 複 雜 的 電 氣 化 鐵 路 系 統 地 道 網 路, 可 迅 速 地 將 士 兵 和 供 給 品 送 到 最 需 要 的 位 置 聯 絡 各 坑 道 的 電 話 線 與 電 纜 具 備 失 效 切 換 連 線 功 能, 能 夠 抵 禦 德 軍 的 蓄 意 破 壞 7 坑 道 周 圍 設 有 反 坦 克 壕 溝 金 屬 路 障 地 雷 及 小 型 炮 塔, 能 夠 拖 慢 敵 人 的 入 侵 速 度, 讓 軍 隊 有 時 間 加 強 自 身 防 禦 英 國 部 隊 指 揮 官 Alan Brooke 將 軍 在 1939 與 1940 年 造 訪 馬 其 諾 防 線 時, 曾 形 容 這 道 防 線 就 像 一 艘 建 在 陸 地 上 的 戰 艦 8 他 在 日 記 中 將 這 道 防 線 稱 為 獨 樹 一 格 的 傑 作 與 神 來 之 筆 9 儘 管 印 象 深 刻,Brooke 仍 不 免 為 法 國 忽 視 了 軍 事 建 設 的 其 他 要 素 感 到 擔 憂 他 在 日 記 中 寫 道 : 我 認 為 法 國 如 果 把 錢 投 資 在 打 造 機 動 防 禦 裝 置 會 更 好, 例 如 更 先 進 的 飛 機 和 裝 備 更 精 良 的 部 隊, 而 不 是 將 錢 都 砸 在 陸 地 工 事 上 他 後 來 寫 道 : 這 道 防 線 最 危 險 的 一 點 在 於 心 理 層 面 ; 人 們 心 中 產 生 一 種 自 以 為 的 安 全 感, 相 信 自 己 駐 守 在 堅 不 可 摧 的 銅 牆 鐵 壁 之 後 10 這 種 想 法 出 奇 地 準 確 實 際 上, 根 據 第 一 次 世 界 大 戰 的 經 歷, 法 軍 指 揮 官 認 為 如 果 德 軍 再 次 進 攻, 這 道 防 線 可 讓 他 們 有 充 足 的 時 間 可 建 立 測 試 並 製 造 全 新 的 先 進 武 器 11 馬 其 諾 防 線 在 面 臨 直 接 進 攻 時 表 現 十 分 出 色, 不 但 能 有 效 抵 擋, 甚 至 還 擊 退 了 數 波 攻 擊 不 幸 的 是, 這 都 只 是 一 些 草 草 結 束 的 攻 擊, 其 他 的 德 軍 部 隊 早 已 揮 師 進 軍 巴 黎 德 軍 使 用 了 快 如 閃 電 的 奇 襲 攻 擊 策 略, 透 過 比 利 時 大 舉 入 侵, 完 全 避 開 了 馬 其 諾 防 線 將 大 筆 預 算 投 入 馬 其 諾 防 線 的 法 軍, 根 本 無 法 組 織 起 有 效 的 防 禦 措 施 4 William Allcorn. The Maginot Line 1928-45. 2003 年 8 月,( 馬 其 諾 防 線 1928-45 ) 5 Modern Mechanics and Inventions. France Builds World s Greatest Defense System. 1931 年 3 月,( 法 國 建 造 全 球 首 屈 一 指 的 防 禦 系 統 ) 6 Kaufmann H.W. Kaufmann 等 人 The Maginot Line:History and Guide. 2011,( 馬 其 諾 防 線 : 歷 史 與 啟 發 ) 7 出 處 同 上 8 Alan Brooke ( 全 名 特 級 上 將 Alan Brooke 勛 爵 ); Alex Danchev 和 Daniel Todman ( 編 輯 ). War Diaries 1939-1945. ( 戰 爭 日 誌 1939-1945 ) 2003 年 6 月. 9 出 處 同 上 10 出 處 同 上 11 Kaufmann H.W. Kaufmann 等 人 The Maginot Line:History and Guide. 2011. ( 馬 其 諾 防 線 : 歷 史 與 啟 發 ) 5 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 第 一 線 資 訊 本 報 告 透 過 FireEye 從 1,200 多 個 實 際 部 署 環 境 中 收 集 到 的 資 料, 說 明 攻 擊 者 的 策 略 有 何 改 變 傳 統 的 防 禦 和 測 試 程 序 為 何 功 虧 一 簣, 以 及 對 於 仰 賴 這 些 程 序 來 保 護 智 慧 財 產 客 戶 資 料 等 項 目 的 組 織 又 有 何 意 涵 網 路 安 全 的 馬 其 諾 防 線 網 路 安 全 也 面 臨 相 似 的 轉 型 問 題 過 去 漫 無 目 的 的 無 差 別 攻 擊 早 已 式 微, 如 今 都 是 由 財 力 雄 厚 的 威 脅 發 動 者 資 助 組 織 嚴 密 的 攻 擊, 並 將 重 心 放 在 破 壞 系 統 和 竊 取 資 料 上 但 就 像 還 在 為 上 次 的 戰 役 備 戰 的 將 軍 一 樣, 多 數 的 產 業 仍 然 活 在 過 去 正 當 威 脅 發 動 者 在 研 發 巧 妙 的 新 招 數 來 達 成 任 務 時, 傳 統 的 資 安 廠 商 測 試 機 構 以 及 仰 賴 這 些 機 關 的 組 織 仍 舊 著 眼 於 過 往 的 戰 術 因 此, 他 們 也 使 自 己 暴 露 於 先 進 威 脅 者 的 全 新 高 效 策 略 之 中 網 路 安 全 就 如 戰 場, 面 對 創 新 又 強 大 的 對 手 時, 再 周 延 的 作 戰 計 畫 也 會 分 崩 離 析 只 有 在 現 實 環 境 中, 才 能 真 正 測 試 出 一 項 產 品 的 成 效 FireEye 是 唯 一 提 供 現 實 環 境 評 估 資 訊 的 廠 商 FireEye 的 網 路 與 電 子 郵 件 設 備 是 配 置 在 其 他 所 有 安 全 措 施 的 後 端 12 也 就 是 說,FireEye 在 這 些 測 驗 中 所 偵 測 到 的 攻 擊, 都 已 突 破 組 織 中 其 他 所 有 的 安 全 防 護 層 本 報 告 透 過 FireEye 從 1,200 多 個 實 際 部 署 環 境 中 收 集 到 的 資 料, 說 明 攻 擊 者 的 策 略 有 何 改 變 傳 統 的 防 禦 和 測 試 程 序 為 何 功 虧 一 簣, 以 及 對 於 仰 賴 這 些 程 序 來 保 護 智 慧 財 產 客 戶 資 料 等 項 目 的 組 織 又 有 何 意 涵 實 際 環 境 測 試 實 驗 室 測 試 在 本 質 上 就 有 缺 陷 這 種 測 試 只 能 評 估 網 路 防 禦 機 制 抵 抗 預 先 所 選 ( 也 就 是 測 試 人 員 所 熟 悉 的 ) 威 脅 的 成 效 此 外, 測 試 方 法 對 於 實 際 攻 擊 的 發 動 方 式, 經 常 作 出 錯 誤 的 假 設 因 此, 在 精 細 掌 控 的 實 驗 室 環 境 中 看 似 有 效 的 技 術, 也 可 能 無 法 抵 禦 難 以 預 測 的 實 際 威 脅 為 了 更 精 確 地 評 估 傳 統 安 全 措 施 的 成 效,FireEye 從 2013 年 10 月 至 2014 年 3 月 針 對 全 球 1,216 個 組 織, 分 析 1,614 部 設 備 在 價 值 驗 證 (PoV) 試 驗 階 段 中 自 動 產 生 的 即 時 資 料 這 些 組 織 當 時 正 在 測 試 FireEye 的 網 路 與 電 子 郵 件 設 備, 但 並 未 受 到 FireEye 平 台 的 保 護 這 樣 的 配 置 可 讓 您 一 窺 傳 統 安 全 性 產 品 在 實 際 網 路 中 的 執 行 成 效 12 以 專 利 Multi-Vector Virtual Execution (MVX) 引 擎 為 後 盾 的 FireEye 裝 置 可 監 控 已 通 過 防 火 牆 入 侵 偵 測 與 防 禦 系 統 (IDS/IPS) 及 Web Proxy 的 Web 和 電 子 郵 件 流 量 MVX 引 擎 不 靠 二 進 位 特 徵 碼, 而 是 分 析 在 虛 擬 機 器 環 境 中 執 行 的 可 疑 檔 案 和 物 件, 因 此 能 夠 偵 測 到 其 他 深 度 防 禦 層 遺 漏 的 惡 意 活 動 FireEye 裝 置 亦 可 識 別 出 未 受 端 點 工 具 阻 止 之 惡 意 軟 體 的 命 令 與 控 制 流 量 6 www.fireeye.com
報 告 非 EXE/DLL 惡 意 執 行 檔 物 件 水 坑 式 / 偷 渡 式 攻 擊 防 火 牆 /NGFW IDS/IPS 安 全 Web 閘 道 防 毒 各 種 型 態 的 網 路 攻 擊 零 時 差 攻 擊 圖 2:FireEye 在 典 型 深 度 防 禦 架 構 中 的 所 在 位 置 如 [ 圖 2] 所 示,FireEye 的 網 路 與 電 子 郵 件 設 備 通 常 是 在 其 他 安 全 措 施 後 端 運 作 這 表 示, 被 FireEye 設 備 偵 測 到 的 任 何 項 目, 都 已 突 破 其 他 所 有 深 度 防 禦 架 構 的 防 護 層 藉 由 監 控 防 毒 (AV) 系 統 沒 偵 測 到 的 出 埠 命 令 與 控 制 (CnC) 嘗 試, 我 們 也 能 評 估 AV 及 其 他 端 點 防 禦 機 制 在 實 際 測 試 中 的 成 效 FireEye 從 2013 年 10 月 至 2014 年 3 月 針 對 全 球 1,216 個 組 織, 分 析 1,614 部 設 備 在 價 值 驗 證 (PoV) 試 驗 階 段 中 自 動 產 生 的 即 時 資 料 7 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 受 試 組 織 ( 依 地 理 位 置 劃 分 ) 28% 3% 1% 20% 各 種 地 理 位 置 和 產 業 我 們 的 樣 本 包 括 來 自 全 球 各 地 涵 蓋 所 有 主 要 產 業 的 結 果 因 此, 可 反 映 出 無 法 在 實 驗 室 環 境 中 複 製 的 各 種 攻 擊 者 技 術 及 動 機 深 入 訪 談 除 了 自 動 產 生 的 資 料 外, 我 們 也 在 這 次 的 樣 本 中 調 查 了 348 個 組 織, 以 深 入 瞭 解 其 網 路 安 全 性 架 構 的 其 他 內 容, 取 得 其 現 有 深 度 防 禦 架 構 中 所 有 元 件 的 更 多 資 訊 43% 4% 北 美 洲 528 (43%) 南 美 洲 38 (3%) 歐 洲 中 東 及 非 洲 351 (29%) 亞 太 地 區 242 (20%) 日 本 54 (4%) 其 他 國 家 / 地 區 3 ( 小 於 1%) 表 格 1: 排 名 前 八 名 的 產 業 ( 依 密 集 程 度 排 列 ) 產 業 總 百 分 比 金 融 服 務 業 18% 政 府 機 關 16% 化 學 與 製 造 業 7% 高 科 技 業 7% 顧 問 公 司 7% 這 些 數 據 的 含 意 顯 而 易 見 : 世 界 上 沒 有 一 個 角 落 能 躲 得 過 攻 擊 者 的 魔 掌, 目 前 的 防 禦 機 制 在 面 對 這 些 攻 擊 時 幾 乎 是 束 手 無 策 能 源 產 業 6% 零 售 業 5% 醫 療 保 健 業 4% 8 www.fireeye.com
報 告 來 自 前 線 的 事 實 : 測 試 結 果 在 這 份 報 告 中, 我 們 分 析 了 從 1,217 13 個 FireEye 試 驗 部 署 所 產 生 的 資 料, 以 深 入 瞭 解 入 埠 活 動 ( 入 侵 和 二 進 位 檔 ) 與 出 埠 活 動 (CnC 回 呼 ) 將 受 訪 企 業 的 調 查 回 覆 與 他 們 的 FireEye 設 備 產 生 的 資 料 交 叉 比 對, 就 可 以 評 估 各 個 防 禦 層 在 現 實 環 境 中 的 執 行 成 效 在 這 次 測 試 所 觀 察 的 系 統 中, 有 75% 的 系 統 都 有 主 動 執 行 CnC 工 作 階 段 的 情 況 這 些 系 統 不 只 是 遭 到 損 壞, 也 被 攻 擊 者 用 來 主 動 執 行 竊 取 資 料 等 活 動 入 埠 入 侵 與 二 進 位 檔 在 這 六 個 月 的 測 試 期 間, 我 們 觀 察 到 以 下 現 象 : 這 些 數 據 的 含 意 顯 而 易 見 : 世 界 上 沒 有 一 個 角 落 能 躲 得 過 攻 擊 者 的 魔 掌, 目 前 的 防 禦 機 制 在 面 對 這 些 攻 擊 時 幾 乎 是 束 手 無 策 整 體 來 說, 這 項 測 試 中 的 安 全 性 工 具 共 容 許 了 208,184 項 惡 意 軟 體 下 載 其 中, 有 124,289 個 是 獨 特 的 惡 意 軟 體 變 種 14 而 在 這 些 獨 特 的 變 種 當 中, 有 75% 只 在 一 個 環 境 裡 被 偵 測 到 97% 的 組 織 遭 到 入 侵 27% 的 組 織 都 曾 經 歷 過 攻 擊 事 件, 且 已 知 這 些 事 件 與 進 階 持 續 威 脅 (APT) 發 動 者 所 用 的 工 具 和 策 略 一 致 122 平 均 會 有 1.6 次 入 侵 攻 擊 與 122 個 惡 意 軟 體 植 入 程 式 通 過 其 他 安 全 層 級 13 先 前 提 過 的 1,216 位 客 戶 中, 有 一 家 客 戶 測 試 了 兩 種 FireEye 部 署 方 式 14 許 多 使 用 可 執 行 壓 縮 工 具 ( 也 稱 為 二 進 位 檔 封 裝 程 式 ) 進 行 偽 裝 的 二 進 位 檔, 因 為 屬 於 同 一 惡 意 軟 體 變 種, 因 此 只 會 計 算 一 次 9 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 這 些 發 現 反 映 出 獨 特 的 二 進 位 檔 正 日 益 增 加, 而 且 其 中 有 不 少 是 專 為 特 定 攻 擊 而 量 身 打 造 出 埠 CnC 呼 叫 在 這 次 測 試 所 觀 察 的 系 統 中, 有 75% 的 系 統 都 有 主 動 執 行 CnC 工 作 階 段 的 情 況 這 些 系 統 不 只 是 遭 到 破 壞, 也 被 攻 擊 者 用 來 主 動 執 行 竊 取 資 料 等 活 動 在 過 去 六 個 月 的 觀 察 期 中, 我 們 在 35,415 個 獨 特 的 CnC 架 構 中 發 現 10,149,477 起 CnC 傳 輸 作 業, 平 均 每 週 360,965 起 根 據 測 試 期 間 記 錄 到 的 第 一 階 段 CnC 連 線,CnC 流 量 幾 乎 是 在 全 球 各 地 流 竄 第 一 階 段 CnC 伺 服 器 指 出 的 流 向 並 不 一 定 是 攻 擊 來 源, 許 多 攻 擊 者 會 利 用 受 影 響 的 機 器, 或 者 在 其 他 國 家 購 買 基 礎 架 構 來 進 行 活 動 不 過, 從 IP 位 址 的 數 量 與 類 型, 仍 可 看 出 這 是 全 球 都 無 法 避 免 的 問 題 美 國 無 疑 是 全 球 CnC 流 量 最 高 的 地 點 這 項 排 名 可 能 和 美 國 大 量 普 及 的 電 腦 文 化, 以 及 具 吸 引 力 的 攻 擊 目 標 數 量 有 關 根 據 我 們 的 資 料, 下 列 產 業 類 別 的 網 路 基 礎 架 構 中 有 最 多 惡 意 軟 體 回 呼 : 1. 高 等 教 育 機 構 2. 金 融 服 務 業 3. 聯 邦 政 府 4. 州 政 府 與 地 方 政 府 5. 高 科 技 業 6. 電 信 業 ( 包 括 網 際 網 路 ) 7. 化 學 / 製 造 / 採 礦 業 8. 服 務 / 諮 詢 業 9. 能 源 / 公 用 事 業 / 石 油 產 業 10. 醫 療 保 健 / 製 藥 業 10,000 9,000 10 大 CnC 目 的 地 不 重 複 的 第 一 階 段 CnC 回 呼 目 的 地 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 美 國 德 國 韓 國 中 國 俄 羅 斯 荷 蘭 英 國 法 國 加 拿 大 烏 克 蘭 圖 3: 第 一 階 段 CnC 流 量 美 國 無 疑 是 全 球 CnC 流 量 最 高 的 地 點 10 www.fireeye.com
報 告 教 育 業 的 排 名 結 果 與 2013 年 的 FireEye 進 階 威 脅 報 告 一 致, 都 指 出 這 個 領 域 是 最 常 被 鎖 定 的 目 標 學 校 中 有 許 多 珍 貴 的 智 慧 財 產, 網 路 使 用 風 氣 又 十 分 開 放, 可 能 因 此 成 為 主 要 攻 擊 目 標 抽 絲 剝 繭, 層 層 深 入 將 典 型 深 度 防 禦 架 構 的 每 個 元 件 效 能 獨 立 出 來 檢 視, 我 們 發 現 即 使 同 時 使 用 多 層 次 的 異 質 資 安 產 品 進 行 協 防, 整 個 防 禦 系 統 仍 是 潰 不 成 軍 逐 一 進 行 分 析, 發 現 最 常 見 的 傳 統 資 安 產 品 至 少 都 經 歷 過 一 次 入 侵 滲 透, 即 使 測 試 時 間 相 當 短 暫, 我 們 發 現 內 部 系 統 暴 露 於 資 安 風 險 中 對 於 在 大 多 數 安 全 架 構 中 配 置 於 FireEye 設 備 下 方 的 防 毒 工 具, 我 們 也 進 行 了 評 估 我 們 監 控 防 毒 工 具 沒 偵 測 到 的 惡 意 軟 體 所 產 生 的 CnC 連 線 我 們 並 不 意 外, 每 一 個 防 護 層 中 的 主 要 工 具 都 是 網 路 安 全 業 的 知 名 品 牌 我 們 發 現 產 品 功 效 與 廠 商 的 市 場 佔 有 率 並 無 關 聯, 所 有 工 具 都 一 樣 以 失 敗 告 終 在 我 們 從 實 際 資 料 中 找 到 的 120,000 份 以 上 的 惡 意 軟 體 樣 本 裡, 超 過 半 數 都 已 編 入 VirusTotal ( 安 全 性 研 究 人 員 所 使 用 的 線 上 惡 意 軟 體 知 識 庫 ) 即 使 如 此, 大 多 數 AV 廠 商 ( 前 六 大 廠 商 ) 在 FireEye 偵 測 時 仍 遺 漏 了 62% 的 惡 意 軟 體 其 中 25% 的 惡 意 軟 體, 沒 有 被 任 何 一 家 廠 商 偵 測 出 來 我 們 並 不 意 外, 每 一 個 防 護 層 中 的 主 要 工 具 都 是 網 路 安 全 業 的 知 名 品 牌 我 們 發 現 產 品 功 效 與 廠 商 的 市 場 佔 有 率 並 無 關 聯, 所 有 工 具 都 一 樣 以 失 敗 告 終 表 格 2: 深 度 防 禦 安 全 架 構 的 效 能 元 件 回 報 使 用 這 項 安 全 措 施 的 客 戶 破 壞 率 防 火 牆 212 100% IDS/IPS 119 100% Web Proxy 138 100% 網 路 防 毒 75 100% 端 點 防 毒 169 100% 其 他 防 惡 意 軟 體 措 施 33 100% 11 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 客 戶 調 查 中 的 廠 商 分 布 情 形 防 火 牆 網 路 防 毒 IDS/IPS Web Proxy 端 點 防 毒 廠 商 A 32% 廠 商 A 28% 廠 商 A 15% 廠 商 A 26% 廠 商 A 32% 廠 商 B 24% 廠 商 B 26% 廠 商 B 14% 廠 商 B 21% 廠 商 B 24% 廠 商 C 12% 廠 商 C 7% 廠 商 C 14% 廠 商 C 14% 廠 商 C 10% 廠 商 D 12% 廠 商 D 6% 廠 商 D 13% 廠 商 D 7% 廠 商 D 11% 廠 商 E 9% 廠 商 E 5% 廠 商 E 10% 廠 商 E 6% 廠 商 E 9% 其 他 11% 其 他 28% 其 他 48% 其 他 26% 其 他 14% 資 料 竊 取 : 大 小 資 料 無 所 不 偷 ( 摘 自 Mandiant M-Trends 2014: 入 侵 事 件 背 後 的 真 相 ) 每 次 Mandiant 回 應 事 件 時, 客 戶 問 的 第 一 個 問 題 通 常 是 : 為 什 麼 我 會 成 為 攻 擊 目 標? 接 著 就 會 說 : 我 沒 有 什 麼 別 人 會 想 要 的 東 西 根 據 過 去 幾 年 來 的 調 查, 我 們 的 答 案 幾 乎 都 是 : 不, 您 有! 有 些 國 家 的 威 脅 發 動 者 正 在 拓 展 網 路 特 殊 任 務 的 範 圍 例 如, 位 在 中 國 的 先 進 威 脅 發 動 者 十 分 積 極 地 想 取 得 企 業 經 營 方 式 的 相 關 資 料, 而 不 只 是 瞭 解 產 品 製 造 流 程 我 們 在 過 去 的 M-Trends 報 告 中 曾 經 提 過, 中 國 的 威 脅 發 動 者 已 將 目 標 擴 展 至 遠 遠 超 出 國 防 工 業 基 地 之 外 的 領 域 在 眾 多 行 業 中, 我 們 漸 漸 觀 察 到 中 國 政 府 進 行 了 各 種 大 規 模 入 侵 活 動, 以 取 得 資 訊 來 支 援 國 營 企 業 這 表 示 資 料 竊 取 已 經 不 限 於 公 司 的 核 心 智 慧 財 產, 而 是 包 括 企 業 如 何 經 營 以 及 高 層 主 管 與 核 心 人 物 如 何 作 出 決 策 等 相 關 資 訊 12 www.fireeye.com
報 告 現 今 的 攻 擊 形 式 從 這 些 結 果 看 來, 短 短 幾 年 間, 現 今 的 攻 擊 者 就 已 改 變 他 們 的 策 略 那 種 廣 泛 隨 機 無 差 別 的 惡 作 劇 式 攻 擊, 早 已 經 被 先 進 有 目 標 隱 匿 且 持 久 的 精 密 攻 擊 所 取 代 這 種 新 一 代 攻 擊 包 括 高 階 網 路 犯 罪, 以 及 由 國 家 資 助 的 進 階 持 續 威 脅 (APT) 攻 擊 活 動 雖 然 這 兩 種 攻 擊 類 型 的 目 標 不 同, 但 它 們 有 幾 項 共 同 的 主 要 特 徵 所 有 攻 擊 都 是 人 為 操 縱 所 有 網 路 攻 擊 背 後 都 有 人 在 操 縱 在 多 數 情 況 下, 這 些 人 可 能 分 屬 同 一 機 構 下 的 不 同 群 體, 各 組 人 馬 會 分 別 分 派 到 特 定 任 務, 以 共 同 完 成 一 項 主 要 任 務 15 因 為 攻 擊 者 是 活 生 生 的 真 人, 而 不 是 不 會 思 考 的 程 式 碼, 因 此 他 們 有 動 機 有 組 織, 而 且 難 以 捉 摸 現 今 的 攻 擊 會 分 段 進 行 網 路 攻 擊 並 非 單 一 事 件 它 們 會 依 照 多 個 安 排 好 的 階 段 展 開, 並 計 算 好 步 驟, 逐 步 入 侵 建 立 據 點 監 控 受 害 者 的 網 路, 最 後 竊 取 資 料 以 下 是 典 型 的 攻 擊 方 式 : 1. 外 部 偵 察 攻 擊 者 通 常 會 尋 找 並 分 析 潛 在 攻 擊 目 標 ( 例 如 高 層 主 管 和 管 理 人 員 ), 以 找 出 他 們 感 興 趣 的 目 標, 並 據 此 制 定 策 略, 設 法 接 觸 目 標 系 統 攻 擊 者 甚 至 可 以 從 公 用 網 站 收 集 個 人 資 訊, 以 撰 寫 以 假 亂 真 的 魚 叉 式 網 路 釣 魚 電 子 郵 件 2. 初 步 破 壞 在 這 個 階 段, 攻 擊 者 開 始 存 取 系 統 攻 擊 者 可 以 使 用 各 種 方 法, 包 括 精 心 設 計 的 魚 叉 式 網 路 釣 魚 電 子 郵 件, 以 及 入 侵 熱 門 網 站 的 水 坑 攻 擊 3. 建 立 據 點 攻 擊 者 會 試 圖 取 得 目 標 公 司 的 網 域 管 理 權 限 之 帳 號 密 碼 ( 通 常 會 經 過 加 密 ), 並 將 憑 證 傳 輸 到 網 路 外 部 為 了 加 強 他 們 對 已 入 侵 網 路 的 掌 控, 入 侵 者 通 常 會 使 用 隱 匿 的 惡 意 軟 體, 以 躲 避 主 機 與 網 路 防 護 措 施 的 偵 測 例 如, 惡 意 軟 體 可 能 會 插 入 合 法 程 序 修 改 登 錄 檔 或 綁 架 已 排 程 服 務, 藉 此 使 用 系 統 層 級 的 權 限 進 行 安 裝 4. 內 部 偵 察 在 這 個 步 驟, 攻 擊 者 會 收 集 周 遭 基 礎 架 構 信 任 關 係 及 Windows 網 域 架 構 的 相 關 資 訊, 以 便 在 遭 受 入 侵 的 網 路 內 四 處 擴 散, 找 出 重 要 資 料 在 這 個 階 段, 攻 擊 者 通 常 會 部 署 其 他 後 門 程 式 這 樣 一 來, 如 果 被 偵 測 到, 他 們 也 能 夠 重 新 存 取 網 路 5. 任 務 完 成 了 嗎? 一 旦 攻 擊 者 建 立 好 據 點 及 找 到 重 要 資 訊 之 後, 便 會 開 始 竊 取 資 料, 例 如 : 電 子 郵 件 附 件, 以 及 使 用 者 工 作 站 和 檔 案 伺 服 器 上 的 檔 案 通 常, 攻 擊 者 會 試 圖 持 續 掌 控 遭 入 侵 的 系 統, 隨 時 準 備 竊 取 下 一 組 發 現 到 的 重 要 資 料 為 了 繼 續 留 在 系 統 中, 攻 擊 者 通 常 會 試 著 掩 飾 他 們 的 蹤 跡, 以 躲 避 偵 測 15 Mandiant. APT1:Exposing One of China s Cyber Espionage Units. 2013 年 2 月,( APT1: 揭 發 中 國 網 路 偵 察 單 位 ) 13 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 現 今 的 攻 擊 會 使 用 多 種 威 脅 媒 介 進 階 攻 擊 會 同 時 使 用 多 種 威 脅 媒 介 例 如, 網 路 釣 魚 電 子 郵 件 可 能 還 含 有 連 至 惡 意 URL 的 連 結 又 譬 如 說, 在 2013 年 一 起 向 美 國 金 融 機 構 發 動 的 目 標 性 攻 擊 中, 便 使 用 了 包 含 Windows 與 Android 元 件 的 遠 端 管 理 工 具 (RAT), 同 時 透 過 PC 和 電 話 監 視 受 害 者 16 有 不 少 攻 擊 也 採 用 多 流 量 模 式 攻 擊 者 不 會 傳 送 單 一 惡 意 檔 案 至 目 標 系 統, 因 為 這 樣 可 能 會 觸 發 惡 意 軟 體 警 示, 而 是 傳 送 幾 個 看 似 無 害 的 檔 案 或 物 件 一 旦 這 些 檔 案 和 物 件 合 體 後, 就 會 顯 露 它 們 真 正 的 本 質 舉 例 來 說, 許 多 網 路 型 攻 擊 會 包 含 幾 個 下 載 的 檔 案 或 物 件 這 些 物 件 常 常 源 於 多 個 HTTP 要 求 和 回 應 ( 包 括 重 新 導 向 ), 以 及 多 個 TCP 工 作 階 段 某 個 物 件 可 能 用 於 記 憶 體 堆 疊 竄 改 (Heap Spray), 一 個 物 件 可 能 含 有 用 於 入 侵 的 緩 衝 區 溢 位 或 未 處 理 過 的 輸 入 資 料, 另 一 個 物 件 則 可 能 擊 敗 作 業 系 統 保 護, 例 如 : 位 址 空 間 配 置 隨 機 載 入 (ASLR) 與 資 料 執 行 防 止 (DEP) 最 後, 另 一 個 已 下 載 的 二 進 位 檔 可 能 是 含 有 隱 藏 型 惡 意 程 式 碼 的 映 像 檔, 只 有 在 從 看 似 良 性 的 檔 案 中 擷 取 出 來 時 才 會 執 行 此 程 式 碼 現 今 的 攻 擊 會 暗 中 發 動 攻 擊 現 今 的 攻 擊 會 使 用 各 種 隱 匿 策 略, 以 躲 避 偵 測 並 持 續 掌 控 遭 受 入 侵 的 系 統 以 下 列 舉 一 些 攻 擊 者 用 來 保 持 低 調 的 技 術 : 程 序 插 入 顧 名 思 義, 這 項 技 術 是 將 惡 意 程 式 碼 插 入 良 性 程 序 中 透 過 綁 架 合 法 程 式 碼, 攻 擊 者 便 可 以 偽 裝 惡 意 行 為 的 來 源, 並 躲 過 防 火 牆 及 其 他 監 控 程 序 的 安 全 性 工 具 程 序 偽 裝 攻 擊 者 會 用 這 種 方 法, 為 惡 意 檔 案 或 物 件 取 個 看 似 良 性 的 名 稱, 或 是 與 已 知 的 系 統 程 序 或 其 他 常 見 程 序 相 似 的 名 稱 Svchost.exe 與 Spoolsv.exe 經 常 遭 到 仿 冒, 因 為 這 兩 個 服 務 程 序 通 常 有 好 幾 個 副 本 在 執 行, 很 容 易 被 忽 視 圖 4: 先 進 攻 擊 的 各 個 階 段 16 Thoufique Haq Hitesh Dharmdasani 等 人 (FireEye). From Windows to Droids:An Insight in to Multi-vector Attack Mechanisms in RATs. 2014 年 3 月,( 從 Windows 到 Droids: 深 入 探 討 RAT 的 多 媒 介 攻 擊 機 制 ) 14 www.fireeye.com
報告 IDS IDS IDS IDS IDS IDS 圖 5 現今的先進網路攻擊如何對抗傳統的 IT 防禦機制 現今先進攻擊的特性 以及傳統深度防禦架構嘗試執行的對策 專業的目標性攻擊 常見的 IT 安全防禦措施 靈敏又快速的方式 特徵碼式 工具與技術皆經過修改 以躲避特徵碼式防禦 無動於衷 繼續使用比對特徵碼的方式重複攻擊 堅持不懈的全職支薪攻擊者 在多數安全性預算上投入大筆支出 17 從記憶體執行程式碼 有些惡 意程式碼只在記憶體中執行 藉 此規避防毒軟體掃描 而且不會 留下任何痕跡 讓數位鑑識調查 員無從察覺 在 2013 年 11 月破 獲的一起精密水坑攻擊事件 Operation Ephemeral Hydra 中 這項技術就是關鍵要素之一 17 檔案藏匿 這個手法可能可以 非常簡單 例如更動檔案的 上的時間戳記 以隱藏真正 的檔案建立時間 以混淆事 件調查 植入特洛伊程式 為了避免留 下露出馬腳的執行檔 許多攻 擊會選擇綁架現有的執行檔 因為安全專家常常會忽略這些 檔案 而且在已載入系統開機的二進位 檔中植入特洛伊程式 可讓入侵 者維持在系統上建立的後門 加殼程式 加殼程式可以壓縮並 加密程式碼 藉此隱藏潛伏其中 的程式碼 這項技術能夠建立特 徵碼式網路防禦機制還無法識別 的新二進位檔 同時 亦可提升 程式碼逆向工程的難度 Ned Moran 等人 (FireEye). Operation Ephemeral Hydra:IE Zero-Day Linked to DeputyDog Uses Diskless Method. 2013 年 11 月 ( Operation Ephemeral Hydra 以無光碟方式連接至 DeputyDog 的 IE 零時差攻擊 ) 15 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 測 試 結 果 顯 示, 面 對 專 門 竊 取 企 業 機 密 志 在 必 得 的 攻 擊 者, 網 路 安 全 的 馬 其 諾 防 線 根 本 不 堪 一 擊 更 大 的 問 題 出 在 根 本 性 的 結 構 典 型 安 全 性 架 構 中 多 數 的 元 件 都 是 靠 二 進 位 特 徵 碼 黑 名 單 和 信 用 評 價 等 條 件 來 識 別 威 脅 這 些 方 式 或 許 可 隔 離 舊 型 攻 擊, 但 就 像 法 國 的 馬 其 諾 防 線, 它 們 無 法 應 付 現 今 的 威 脅 攻 擊 許 多 攻 擊 均 為 量 身 打 造 現 今 的 攻 擊 常 是 使 用 只 為 瞄 準 單 一 目 標 所 打 造 的 惡 意 軟 體 如 同 前 面 所 提 過 的, 這 次 取 樣 到 的 獨 特 惡 意 軟 體 中, 有 75% 只 在 單 一 環 境 中 被 偵 測 到 這 項 數 據 與 FireEye 在 2013 年 的 一 項 全 面 攻 擊 分 析 一 致, 該 分 析 報 告 指 出 82% 惡 意 軟 體 二 進 位 檔 在 一 小 時 內 就 消 失 不 見 難 怪 不 久 前 AV 軟 體 巨 擘 Symantec 的 主 管 會 宣 稱 防 毒 技 術 早 已 名 存 實 亡 18 當 攻 擊 者 挖 空 心 思 鎖 定 特 定 目 標 進 行 攻 擊, 他 們 便 會 不 斷 發 動 攻 擊, 直 到 達 成 目 標 新 的 馬 其 諾 防 線 測 試 結 果 顯 示, 面 對 專 門 竊 取 企 業 機 密 志 在 必 得 的 攻 擊 者, 網 路 安 全 的 馬 其 諾 防 線 根 本 不 堪 一 擊 現 今 的 架 構 為 何 不 敷 所 需 現 今 的 深 度 防 禦 架 構 大 多 是 由 數 個 獨 立 的 防 護 層 所 組 成, 包 括 防 毒 軟 體 入 侵 防 禦 系 統 (IPS) 所 謂 的 新 一 代 防 火 牆 與 Web 閘 道 從 我 們 的 實 際 資 料 可 清 楚 看 出, 這 個 架 構 的 配 置 之 差, 根 本 無 法 因 應 現 今 的 先 進 攻 擊 首 先, 每 個 元 件 的 設 計 只 能 應 付 單 一 安 全 問 題, 而 且 通 常 未 能 完 善 整 合 組 織 可 能 認 為 自 己 已 兼 顧 所 有 主 要 的 威 脅 媒 介 然 而, 若 是 不 能 以 全 面 一 致 的 方 式 綜 觀 所 有 攻 擊 媒 介, 現 今 的 深 度 防 禦 模 式 仍 可 能 會 錯 過 攻 擊 者 破 壞 防 禦 機 制 的 跡 象 特 徵 碼 根 本 無 法 發 揮 作 用, 因 為 AV 廠 商 完 全 無 法 跟 上 排 山 倒 海 而 來 的 新 惡 意 軟 體 二 進 位 檔 在 許 多 情 況 下, 惡 意 軟 體 是 專 為 攻 擊 目 標 而 量 身 訂 製,AV 廠 商 根 本 從 未 見 過, 更 別 說 要 為 該 軟 體 建 立 特 徵 碼 了 許 多 攻 擊 也 會 從 零 時 差 弱 點 下 手, 這 點 當 然 也 無 法 事 先 預 知 攻 擊 者 若 使 用 加 密 二 進 位 檔 或 綁 架 合 法 的 應 用 程 式 與 程 序, 應 用 程 式 黑 名 單 也 只 能 淪 為 虛 設 很 多 時 候, 初 次 入 侵 的 根 本 就 不 是 執 行 檔 其 他 信 用 評 價 型 防 禦 措 施 ( 例 如 :Web 閘 道 與 IPS 所 使 用 的 機 制 ) 無 法 阻 止 來 自 最 新 偽 造 URL 或 提 供 瀏 覽 即 下 載 之 受 損 網 站 的 攻 擊 即 使 是 被 譽 為 網 路 安 全 大 躍 進 的 沙 盒 技 術, 在 大 多 數 的 實 作 中 也 仍 有 缺 陷 ( 請 參 閱 補 充 報 導 ) 18 Danny Yadron ( 華 爾 街 日 報 ). Symantec Develops New Attack on Cyberhacking. 2014 年 5 月,( Symantec 針 對 網 路 駭 客 研 發 新 式 攻 擊 ) 16 www.fireeye.com
報 告 跳 脫 沙 盒 的 思 維 框 架 在 不 得 不 承 認 傳 統 的 安 全 性 工 具 已 不 再 實 用 後, 資 安 廠 商 便 手 忙 腳 亂 地 爭 相 在 自 家 產 品 系 列 中 加 入 動 態 分 析 工 具, 也 就 是 一 般 所 稱 的 沙 盒 即 便 是 長 期 捍 衛 自 家 老 舊 工 具 的 既 有 廠 商, 也 已 接 受 這 個 觀 念 沙 盒 仍 是 一 項 新 興 技 術, 在 我 們 這 次 抽 樣 的 系 統 中 只 有 少 數 有 部 署 沙 盒 但 即 使 在 這 個 為 數 不 多 的 群 體 中, 仍 可 清 楚 看 出 一 項 趨 勢 每 一 個 有 部 署 沙 盒 的 系 統, 都 還 是 遭 到 破 壞 沙 盒 是 什 麼? 自 動 動 態 分 析 系 統 並 不 依 賴 特 徵 碼, 而 是 使 用 現 成 的 虛 擬 機 器 來 觀 察 惡 意 軟 體 行 為 這 些 封 閉 的 模 擬 電 腦 環 境, 可 在 不 造 成 任 何 實 體 損 害 的 情 況 下 執 行 檔 案 透 過 查 看 這 些 虛 擬 沙 盒 環 境 中 的 檔 案, 自 動 分 析 系 統 便 可 標 示 露 出 破 綻 的 行 為, 例 如 對 作 業 系 統 進 行 變 更, 或 是 對 攻 擊 者 的 CnC 伺 服 器 執 行 呼 叫 為 什 麼 多 數 沙 盒 都 功 虧 一 簣 許 多 沙 盒 很 輕 易 就 可 以 偵 測 及 規 避 有 些 沙 盒 是 獨 立 分 析 檔 案, 而 不 是 與 其 他 作 業 通 盤 合 作 有 些 沙 盒 目 光 短 淺, 只 著 眼 於 單 一 威 脅 媒 介 有 些 未 能 模 擬 完 整 系 統, 或 是 只 模 擬 單 一 黃 金 映 像 有 些 只 會 評 估 虛 擬 系 統 的 開 始 及 終 止 狀 態, 而 忽 略 了 期 間 所 發 生 的 一 切 對 動 態 分 析 的 期 許 若 要 確 實 保 護 IT 資 產, 虛 擬 機 器 型 的 分 析 技 術 必 須 先 克 服 先 進 惡 意 軟 體 的 沙 盒 規 避 技 術 而 當 新 的 規 避 技 術 應 運 而 生 時, 廠 商 也 必 須 迅 速 更 新 工 具 正 如 先 前 所 說 明 的, 現 今 的 攻 擊 都 是 同 時 使 用 多 種 媒 介 以 及 多 個 資 料 流 量 它 們 會 依 照 多 個 安 排 好 的 階 段 依 次 展 開 攻 擊, 並 計 算 好 步 驟, 逐 步 入 侵 建 立 據 點 監 控 受 害 者 的 網 路, 最 後 竊 取 資 料 也 就 是 說, 動 態 分 析 技 術 必 須 分 析 在 環 境 中 以 及 多 種 威 脅 媒 介 中 的 檔 案 和 物 件 而 且 它 們 必 須 提 供 各 種 可 偵 測 目 標 式 惡 意 軟 體 的 環 境 虛 擬 機 器 型 分 析 技 術 若 能 經 過 動 態 即 時 威 脅 情 報 與 全 面 服 務 輔 助 的 改 良, 必 能 達 到 更 出 色 的 成 效 透 過 全 面 檢 視 一 個 企 業 地 區 或 產 業 中 的 攻 擊, 應 能 協 助 安 全 性 團 隊 在 預 防 偵 測 遏 阻 及 解 決 先 進 攻 擊 上 有 更 優 異 的 表 現 17 www.fireeye.com
網 路 安 全 的 馬 其 諾 防 線 : 實 際 評 估 深 度 防 禦 模 式 結 論 及 建 議 儘 管 組 織 每 年 為 傳 統 安 全 性 措 施 投 入 數 百 萬 美 元, 攻 擊 者 仍 可 隨 心 所 欲 地 侵 入 組 織 資 料 顯 示, 組 織 投 資 哪 家 廠 商 或 使 用 哪 些 典 型 深 度 防 禦 工 具 並 不 重 要, 這 些 工 具 在 實 驗 室 測 試 中 表 現 多 優 異 也 無 關 緊 要 現 實 世 界 的 攻 擊 者 完 全 不 把 它 們 放 在 眼 裡 在 我 們 的 測 試 中, 至 少 有 97% 的 攻 擊 者 能 夠 入 侵 組 織 的 網 路 馬 其 諾 防 線 他 們 破 壞 了 超 過 1,100 個 重 要 系 統, 範 圍 遍 及 各 個 地 區 和 各 種 產 業 這 表 示 全 球 有 成 千 上 萬 個 組 織 可 能 已 遭 到 入 侵, 卻 對 這 一 切 毫 無 所 知 英 國 將 軍 布 魯 克 曾 在 德 軍 入 侵 前 造 訪 法 國, 並 對 馬 其 諾 防 線 印 象 深 刻, 私 下 卻 也 對 法 國 的 戰 略 感 到 憂 心 忡 忡 他 擔 心 法 國 在 坑 道 防 禦 工 事 上 投 入 過 多 資 金, 卻 不 看 重 可 因 應 戰 爭 變 化 的 現 代 化 設 備 與 武 器 造 訪 馬 其 諾 坑 道 之 後, 他 寫 下 : 數 百 萬 金 錢 都 投 資 在 純 靜 態 的 防 禦 工 事 上 從 這 些 工 事 所 能 獲 得 的 全 部 火 力, 比 起 花 在 這 些 建 設 上 的 時 間 工 作 及 金 錢, 完 全 不 成 比 例 19 許 多 組 織 可 能 會 犯 同 樣 的 錯 誤 在 我 們 的 測 試 中, 至 少 有 97% 的 攻 擊 者 能 夠 入 侵 組 織 的 網 路 馬 其 諾 防 線 他 們 破 壞 了 超 過 1,100 個 重 要 系 統, 範 圍 遍 及 各 個 地 區 和 各 種 產 業 這 表 示 全 球 有 成 千 上 萬 個 組 織 可 能 已 遭 到 入 侵, 卻 對 這 一 切 毫 無 所 知 針 對 此 現 狀, 組 織 必 須 考 慮 採 用 新 的 方 案 來 保 護 自 身 的 IT 資 產 對 許 多 組 織 來 說, 這 種 轉 變 包 括 減 少 用 在 多 餘 過 時 技 術 上 的 浪 費, 並 將 這 些 資 源 重 新 部 署 在 可 有 效 尋 找 並 阻 止 現 今 先 進 攻 擊 的 防 禦 機 制 19 Alan Brooke ( 全 名 特 級 上 將 Alan Brooke 勛 爵 ); Alex Danchev 和 Daniel Todman ( 編 輯 ). War Diaries 1939-1945. ( 戰 爭 日 誌 1939-1945 ) 2003 年 6 月. 18 www.fireeye.com
報 告 進 階 威 脅 常 見 威 脅 防 火 牆 /NGFW IDS/IPS 安 全 Web 閘 道 防 毒 s 將 傳 統 安 全 性 的 支 出 降 至 最 低 永 續 的 保 護 技 術 1. 非 特 徵 碼 式 偵 測 2. 整 合 式 解 決 方 案, 而 不 是 形 同 孤 島 的 單 點 產 品 3. 偵 測 到 可 能 的 損 壞 行 為 後, 提 供 有 效 措 施 4. 融 入 整 合 式 防 禦 社 群 大 多 數 的 安 全 投 資 圖 6: 組 織 應 考 慮 減 少 用 在 多 餘 過 時 技 術 上 的 浪 費, 並 將 這 些 資 源 重 新 部 署 在 可 有 效 尋 找 並 阻 止 現 今 先 進 攻 擊 的 防 禦 機 制 FireEye 建 議 採 取 以 下 方 式 : 變 革 改 用 不 以 特 徵 碼 白 名 單 或 信 用 評 價 為 依 據 的 其 他 架 構 類 型 相 反 地, 轉 而 部 署 虛 擬 機 器 型 的 安 全 性 解 決 方 案, 讓 您 瞭 解 完 整 的 攻 擊 範 圍, 並 產 生 優 質 準 確 的 警 示 情 報, 協 助 您 發 現 重 大 警 訊 投 資 打 造 節 源 對 快 速 端 點 回 應 功 能 加 以 投 資, 以 驗 證 並 遏 阻 突 破 防 線 的 攻 擊 建 立 事 件 回 應 能 力 ( 或 雇 用 相 關 人 才 ), 以 便 在 必 要 時 做 出 回 應 減 少 未 能 掌 握 威 脅 又 帶 來 額 外 干 擾 的 重 複 特 徵 碼 式 深 度 防 禦 層 級 重 新 分 配 這 些 資 源, 投 資 高 效 虛 擬 機 器 型 安 全 性 解 決 方 案 19 www.fireeye.com
FireEye 協 助 組 織 防 禦 新 一 代 的 網 路 攻 擊 我 們 結 合 了 威 脅 防 護 平 台 人 員 及 情 報, 能 夠 立 即 偵 測 所 發 生 的 攻 擊 通 報 風 險 並 帶 領 您 迅 速 解 決 安 全 事 件, 藉 此 協 助 降 低 安 全 性 漏 洞 所 造 成 的 影 響 FireEye, Inc. 1440 McCarthy Blvd. Milpitas, CA 95035 +1 408.321.6300 APAC@FireEye.com www.fireeye.com 2014 FireEye, Inc. 保 留 一 切 權 利 FireEye 是 FireEye, Inc. 的 註 冊 商 標 其 他 所 有 品 牌 產 品 或 服 務 名 稱 是 其 各 自 擁 有 者 的 商 標 或 服 務 標 記 WP.CML.ZH-TW.052014