APT_攻击-趋势-5.pptx

交通部資安教育訓練;報告大綱;社交工程電子郵件攻擊流程;南韓事件;5;澄清一下：我們早就預見這狀況，做好準備了;南韓事件帶來的啟發;南韓事件不是第一個，也不會最後一個;台灣另類的世界第一;數十年來始終不變;數十年來始終不變;數十年來始終不變;總算有人打開潘朵拉盒子了！;承認吧，在座各位是目標;別再用傳統角度看APT威脅了- APT的4大特性; Advanced Persistent Threat;特性1:利用人性弱點;APT入侵最有效也最簡單的方式-社交工程電子郵件;你看得出來那裡有問題？;你看得出來那裡有問題？;你看得出來那裡有問題？;你看得出來那裡有問題？;特性2:傳統防禦機制失靈;你喜歡用，駭客更愛用！;特性4:低調而迂迴;APT受害者平均被入侵近一年後才發現異常;APT攻擊具有「誅九族」的特性;傳說獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺;迷思 將APT與病毒，入侵與DD oS(阻絕服務)混為一談 APT是威脅，不是攻擊！ 認為強化與依靠現有防禦措施即可 萬里長城在現代擋得了誰？ 自認自己不值得被攻擊 你的資料與重要性不是你決定，是駭客決定！ 欠缺 缺乏正確認知 缺乏決解方案 缺乏處理流程;誰做的好事？;別再相信獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺;情報蒐集;目前常用的防禦方式-各各擊破，易如反掌;由電影「魔戒」看APT防禦策略-蹤深防禦+區域聯防;APT蹤深防禦策略架構;可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案 針對各種文件格式中弱點分析 針對APT社交工程信件常用攻擊手法附件分析 可以分析加密惡意附件 可以偵測零時差攻擊且不需更新特徵碼 因為不需更新特徵碼，所以不會有防毒軟體無法辨識新惡意程式問題 快速與準確 在1秒內完成判斷，不對使用者造成困擾 除了準確偵測與攔阻夾帶惡意附件的社交工程信件之外，也不能誤攔正常信件 ;將惡意程式植入到惡意文檔的手法設計分析規則 使用文檔開啟程式的弱點 檔案架構／格式遭到竄改 被增加了特殊的編碼 嵌入Binary code 遭植入有害的 Shell Code 文檔並非觸發單一變數就會遭通報為APT攻擊，必須符合特定組合規則 趨勢科技有專人在研究這個方面的行為，並將研究成果應用在靜態引擎上，使用於社交工程郵件閘道過濾(IMSVA);利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報 惡意程式樣本 中繼站 攻擊來源 立即將所以情報回饋至防禦機制中 樣本製作病毒碼 中繼站、攻擊來源加入防護設備中阻擋;為什麼沙盒分析(Sandbox)不適合放在第一線？;偵測連線已知中繼站連線 IP Domain Name HTTP流量! 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動 偵測透過Web Mail為途徑的社交工程電子郵件惡意附件 套用專家服務分析得來的專屬規則，針對惡意程式的網路行為進行進行比對偵測 APT惡意程式也有身份證號碼！;防禦方式-檢查網頁流量與請求;從南韓事件知道重要伺服器是駭客的目標 統計實際APT資安事件調查案例，10案件中有9個進入內部散佈擴散階段，其中100%重要伺服器都被駭客「已控」 公文交換系統 AD伺服器 Mail伺服器 資產管理系統 內部網頁Portal!! 監控重要伺服器的作業系統與應用程式檔案、目錄與系統登錄是否遭到變更，並在異常狀況發生時立即示警;主機稽核 駭客手法-批次背景執行;主機稽核 駭客手法-批次背景執行;從南韓事件發現最後還是得由防毒軟體執行最後一道防線，阻擋與清除惡意程式 雖然偵測攔截到攻擊，但因使用不同廠商，所以從樣本提供到製作特徵碼時間差，造成嚴重損失 將回饋的惡意程式樣本在第一時間內製作特徵碼，防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式，協助應變與處理;面對APT威脅，必需假設滲透不可免 沒有100%安全的解決方案 需具備自我資安事故應變或調查的能力，或由專業第三方提供「即時」服務 第三方的服務能量、能力、經歷很重要，千萬別找鬼拿藥！ 針對被通報的連線處理 針對重大資安事件，進行詳細的調查，提供「綜觀」的改善建議 定期執行資安健診，抽樣或全面檢測使用者電腦與重要伺服器安全水位，提早發現異常狀況，提升防護成效，降低風險 由專業第三方提供APT情報。針對回饋的資訊，進行分析，