綜觀2013年國內外躍上新聞版面的資安事件層出不窮 – JAVA 0-Day、Adobe 10的漏洞、Nokia客戶個資被竊事件、中共網軍內幕被揭露以及南韓銀行與電視台大規模被駭事件…等,這類事件的總稱就是進階持續式滲透攻擊- APT (Advanced Persistent Threats)...
與其說攻擊不如說是威脅,因為這一類的事件的目的或是為了有價的情資而來,或是為了癱瘓對象目標的網路伺服器或資料中心,然而大部分的受害者都以為有了防火牆 (或次世代防火牆)、 IDS/IPS、安全閘道器(Web Gateway)、防毒牆、防垃圾郵件等設備,就高枕無憂了,孰不知這一類的資安防禦設備的工作原理都是針對已知且有特徵碼(Signature base)的惡意威脅進行辨識與攔阻,也因此統計顯示被駭的單位平均需要243天才能發現資訊外洩且有63%是由外部單位發現的。
 
 
所有APT攻擊事件的爆發點都是由未知的惡意程式(malware)引發,因為還沒有特徵碼,上述傳統的資安設備無法識別所以不足以防禦;知名的市調公司顧能(Gartner)在2012就結論說,傳統的資安技術已被先進的惡意程式突破,而現今的APT惡意程式更已經進階到會變形、會裝睡(潛伏)、會分散重組、會閃躲VM環境、會偵測確實進駐個人電腦才觸發...等,無論它們怎麼進化,都有著一定的攻擊行為模式(Attack Life Cycle):
  • 探查系統漏洞 – 利用人或信任關係發出釣魚郵件誘使目標點擊郵件連結或附加檔
  • 植入惡意程式 – 進入宿主後, 或潛伏, 或立刻進行下一步驟
  • 建立對外連線 – 在宿主不知情的情況下透過網際網路與主控者(command & control)取得聯繫並接受指揮
  • 內部橫向感染 – 開始在宿主的內部網路搜尋目標情資
  • 對外傳送得手情資 – 一旦情資得手迅速對外回傳
 
市場普遍認為以上這些行為模式都可以用一種」沙箱」 (Sand Box)的技術來偵測及阻擋,但沙箱的虛擬環境一般是以商用的虛擬軟體建構而成,並非針對APT惡意攻擊而設計,對於會閃躲及變形的進階型惡意程式依然束手無策,且惡意程式只會在特定版本的作業系統及應用程式發作,入侵的管道來自郵件、網頁、檔案分享或手機;FireEye的持續威脅防護平台 (Continuous Threat Protection) 提供了多面向、多維度及支援最多作業系統及應用程式版本的專用虛擬執行引擎(Multi Vector Execution Engine),來做深層的惡意程式偵測及攔阻,全面佈署在網路閘口、郵件系統、資料中心或電腦和手機末端,並輔以持續監控、保護與追蹤的24 X 7服務,積極有效地保護企業免於APT的攻擊,好讓企業及組織專注於業務的發展與經營。