網路資訊/臺灣產業2012年APT大調查:專家篇
作/曹乙帆
前面單元已經針對本次APT大調查的基本分析與進階交叉分析進行介紹,同時我們也將這次調查及分析結果請教當前APT專家,針對剛出爐的APT調查實況結果做更進一步的剖析。
這次受訪的專家包括Xecure Lab創辦人暨首席資安研究員吳明蔚、Websense臺灣區技術總監莊添發、資策會資安科技研究所副所長劉培文,以及趨勢科技臺灣區及香港區總經理洪偉淦。
問:自認「絕對沒有」遭到APT攻擊過的企業佔11%,自認「應該沒有但不確定」高達62%,換言之,兩者相加,代表認爲未遭APT攻擊的便高達73%。自認「確定有」的僅9%而已。
吳:就我們實際經驗來看,這些自認「絕對沒有」的企業,甚至「不確定有沒有的」,其中8成都有。因爲臺灣當前APT明明十分氾濫,但企業的認知卻自我感覺良好,與實際狀況有很大的落差。
莊:這全看企業對APT的定義而定,由此也會對某安全事件到底是否爲APT的判定有很大影響。因爲事實上對很多企業而言,其界定並非容易的事情。有趣的是,調查中竟然有高達73%的企業沒有受到任何APT的攻擊經驗,這似乎與現實有很大的差距。
劉:首先要看APT的定義而定,當前不僅企業,甚至連方案商本身對APT的定義也不盡相同。再者,APT攻擊最大特性在於持續性(Persistent),至於英文縮寫中的進階(Advanced),並非指着重在某特定攻擊方式上,而則是指只要比對方技術更「進階」即可。所以成功竊取機密的重點,在於能「持續不斷」地比被攻擊者更「進階」,進而找到對方弱點。
洪:在此會覺得真的有被APT攻擊的廠商不願表達,反而懷疑或不確定的受訪者願意侃侃而談。
問:絕大部分政府機關、金融業及醫療業皆自認「絕對沒有」被APT攻擊過,大部分通訊電信、流通貿易業及服務業皆自認「確實有」被攻擊。
吳:就以政府而言,可說100%一定有。但最令人啼笑皆非的,自認「確實有」的服務業、流通貿易業,反而不是APT的主要鎖定目標。之所以會如此,最主要是因爲誤解了APT的定義,而與惡意程式、網路詐騙或網路釣魚混爲一談所致。APT鎖定的重點,不外掌握關鍵技術者及掌握關鍵資料者。也因爲如此,APT第一波的主要攻擊目標是政府與教育單位,第二波目標是通訊業及醫療業,金融業則是第三波。
莊:在此認爲政府機關及金融業會選擇「絕對沒有」遭到攻擊,是因爲他們都無法承認有,通常這兩個產業應該是APT攻擊最頻繁的對象。除此之外,高科技製造業亦然。
劉:APT對金融業的攻擊動機並不強烈,這是因爲其較有價值的資訊大多是資料差異性不大的客戶金融資訊。調查中政府自認「絕對沒有」,事實上國內外與政府相關之APT攻擊報導並不少,至於金融及通訊所常面對的威脅,通常會是網路犯罪及個資竊取。
洪:就我們觀察結果,政府遭攻擊的次數相當頻繁,這是因爲政府有安全通報的機制,所以相對遭攻擊的次數會被突顯。需要強調的是,一般企業對於APT的定義不明,而且多將殭屍電腦攻擊當成APT。目前APT攻擊最頻繁的對象,政府最高,其次金融及電信,再來是製造業,但僅限高科技製造業。另外,電子商務也是常遭攻擊的對象,但較偏向網路詐騙式的攻擊。當前APT通常會被國家級組織、駭客團體及網路犯罪運用,基本上APT已經形成一個上下游產業鏈相串連的產業生態系統。
問:近8成企業透過安全方案或自家人員得知遭APT攻擊。
吳:除非透過專家協助,否則並無法透過安全方案或自家人員便可得知。政府及教育單位多半有國家級監控機制的協助,才能立即掌握任何攻擊事件。過去,對岸人肉搜尋系統曾遭破獲,並發現擁有5千多筆個資的詐騙集團,其屬於整個駭客產業鏈中的下游。一般而言,詐騙集團是不會直接採用APT攻擊的人,而是從中拿到第二手或第三手資料的人,真正驅動APT的多半是國家。
莊:目前沒有一個安全方案能直接判斷出APT攻擊,唯有透過交叉比對去做研判,亦即交叉研判攻擊路徑或模式,然後再判定是否爲APT攻擊。
劉:就調查顯示,5成企業是透過自家安全方案獲知被攻擊,如果現有方案在偵測APT上如此有效,那麼今後APT還有什麼值得緊張的地方呢?畢竟APT的攻擊神髓全在「持續性」上,即使有能力防堵現有APT的攻擊手法及模式,但該攻擊仍會另思破解之道以實現成功入侵竊密的目標。也因爲如此,自家人員的判斷便成爲非常重要的事情。