資安最脆弱的一環

本期封面故事所報導的主題──APT（Advanced Persistent Threat，先進持續性威脅），近來讓許多國外企業聞風喪膽，因為好幾家知名大企業接二連三被駭客入侵，而事後的調查都指向APT。

Google在2010年1月對外宣稱遭到中國駭客入侵，並指出是APT模式，因為他們調查發現，攻擊行動經過精心策畫，而且目標明確，鎖定竊取Gmail特定用戶的信箱，而這些用戶都是反中國人士。

到底什麼是APT？從字面上拆解來看，Advanced指的是精心策畫的攻擊策略與高段的攻擊手法，Persistent指的是長期持續的潛伏，也就是說，攻擊者擁有十八般武藝，他會針對鎖定的目標採取長期抗戰，很有耐心地潛伏，並且用上所有的攻擊技能，尋找攻擊目標的弱點，不動聲色地破壞，以竊取其鎖定的資料。

APT這種為達目的不擇手段的攻擊，就像是有人雇用殺手，除掉目標，聽起來很恐怖，而且成功率可能會很高。如果有人雇用了本領高超的駭客，精心策畫要取得你的公司機密，你能抵擋得住嗎？

2011年3月，資安公司RSA對外坦承駭客入侵該公司，偷走了一些與SecurID雙因素身分認證系統有關的資料。SecurID不僅是RSA公司最重要的產品，也是目前市占率最高的Token產品。RSA對外聲明稿直指入侵事件是APT模式，雖然至今並沒有明確說明駭客到底偷走了什麼，不過有些專家擔心，駭客若處心積慮要入侵雙因素身分認證系統的資料庫，想必是要竊取SecurID的部分金鑰，以使用於其他的攻擊，那麼全世界廣泛使用的雙因素身分認證機制可能就會瓦解。

不出所料，大約是一個月過後，美國的武器製造商洛克希德馬丁傳出駭客事件，駭客入侵的方法是以複製的SecurID通過身分認證，這終於讓大家理解了RSA被駭的原因。可能駭客鎖定的目標是洛克希德馬丁這類軍事或是金融等擁有重要機密的公司，但先滲透RSA公司取得鑰匙，以方便入侵真正被盯上的公司。

這就像小偷不是破壞門鎖，而是先滲透製鎖公司，找到了複製鑰匙的方法，之後就能拿著跟你手上一模一樣的鑰匙，自由地進出你的家門，而你回到家亦無法由門鎖看出小偷已經來過了。

在過往，一般都認為這種手法是國家栽培的駭客軍隊才做得出來，但現在，RSA、洛克希德馬丁、花旗銀行、IMF、Sony等企業組織連番被駭，而且駭客攻擊行動是有計畫長期滲透，不像一般網路攻擊是散彈打鳥，這證明了現在不是只有國家才會面臨網路間諜戰，企業也面臨相同的威脅了。最近，資安公司McAfee取得一臺駭客攻擊主機的Log資料，就發現臺灣有兩家高科技製造公司被潛伏，可見臺灣的企業亦不能輕忽現今攻擊手法的轉變。

企業必須清楚了解到，APT不是指特定明確的攻擊手法，而是泛指一種攻擊型式，這種型式是攻擊方先鎖定了明確的目標，由擁有高超能力的駭客下手，用盡所有的技巧，不惜長期滲透，以取得標的物，而且駭客會一步步找到企業最脆弱的一環，例如在RSA被駭的例子中，駭客利用「公司年度徵才計畫」的假郵件欺騙員工，讓他們的電腦被感染，而為駭客開了大門，這就是RSA公司最脆弱的環節。面對APT威脅，企業可沒有什麼單一的特效藥，唯有找出自己最脆弱的環節，才能確保滴水不漏，而這將是資安防護最嚴苛的挑戰。

吳其勳／iThome電腦報周刊總編輯