如果有家公司買了4種不同廠牌的防毒軟體,你聽了會怎麼想?這家公司要不是太有錢,或是老闆愛做人情,不然鐵定就是頭殼壞了。同時要管4種不同的防毒軟體,這豈不是自找麻煩。
然而,新加坡最大的銀行星展銀行,卻是這麼做。他們部署在用戶端電腦、伺服器、網路閘道、郵件伺服器的防毒軟體各有不同,原因倒不是他們的預算充足,或是IT部門不嫌麻煩,而是基於縱深防禦的考量,要確保銀行的最高安全水準,就必須這麼做。
刻意部署多廠牌的防毒軟體,這種做法徹底巔覆了一般的認知。單一優於複雜,這似乎是世間不變的道理;因為一直以來,我們被灌輸單一廠牌有助於IT管理的觀點,也覺得頗為合理,因為管理集中、統一,絕對有助於提升IT營運的效率。但是,發生在3月20日的韓國史上最大APT攻擊事件,卻突顯了單一廠牌導致安全風險無法分散的問題。
320事件中,攻擊者已經先摸透了目標對象的底細,針對攻擊目標所採用的2種防毒軟體下手,成功潛入負責派送防毒軟體更新的主機,利用這些企業信賴的軟體派送系統,尋企業合法的軟體更新機制派送惡意程式。
如果攻擊者發現目標對象竟然在每一個環節都安裝不同的防毒軟體,要能成功滲透必須先研究4家防毒軟體產品,困難度大幅提高就有可能讓攻擊者黯然退場。由320韓國黑暗日事件來檢視,星展銀行採取多廠牌防毒軟體的縱深防禦策略是對的。
過去鮮少資安廠商會推廣如同星展銀行所採取的縱深防禦觀念,廠商還是會談縱深防禦,但大多是指由企業網路邊界到用戶端電腦,部署一層層的防禦攻勢;但很少廠商會建議用戶在單一類型產品上採取多廠牌,例如部署多廠牌防毒軟體,以在病毒過濾這項防禦攻勢上達到縱深防禦的功效。廠商不談,是不想讓到手的訂單飛了;而絕大多數的企業也不會這麼想,因為管理負擔會加重。然而若只強調集中管理的優點,而避談雞蛋放在同一個籃子的風險,那麼就無法避免如韓國320黑暗日的攻擊事件。
當然,若問星展銀行的縱深防禦策略躲得過像韓國320黑暗日一樣的攻擊嗎?答案也不見得是肯定的,但能肯定的是,縱深防禦策略可讓攻擊門檻變高。或許無法完全躲過勢在必得的APT攻擊,但也許能夠由時間優勢來降低受災情勢。
即便企業平日妥善準備,但面對傾一國之力策動的APT針對式攻擊,可能還是難以全身而退。如此次受害的韓國大型銀行新韓銀行,他們能夠在上萬臺電腦、伺服器、ATM提款機被癱瘓之後,於事發1個小時內陸續恢復,若非平日就部署好嚴謹的防禦策略,以及在陸續的受駭經驗中持續修正防禦策略,是不可能如此迅速做到的。如果平日沒有準備,事發光是要釐清狀況,隨隨便便1個小時就過了。然而,新韓銀行最終還是無法抵擋此次的APT攻擊,對企業而言,這就是APT攻擊最大的警訊。
面對APT針對式攻擊,就像跟駭客軍隊打仗一樣。這不只是一場實力不對等的戰爭,更是一場資訊不對等的戰役。在大多數情況下,事發之前你看不到這群駭客軍隊,他們默默潛伏在你的企業裏,悄悄攻陷電腦、伺服器,一一部署攻擊武器,等到攻擊日一到,你才會突然看到這群駭客軍隊,但一切已經來不及了。
APT之可怕,韓國320黑暗日駭客攻擊就是一個最好的例子。要了解可怕的APT,請看本期封面故事「韓國最大駭客攻擊手法解密」的徹底分析。
吳其勳/iThome電腦報周刊總編輯
專欄作者
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-25
2024-11-15