Your SlideShare is downloading. ×
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Check Point 2014 資安報告
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Check Point 2014 資安報告

408

Published on

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
408
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CHECK POINT 安全報告 2014
  • 2. 01 2014 CHECK POINT 年度安全報告 CHECK POINT 2014 安全報告 01 簡介和採用方法 02 未知惡意軟體的爆炸性成長 03 已知的魔鬼 企業中的惡意軟體 04 毀滅的欲望 企業中的高風險應用程式 05 資料遺失事件 大舉復出 06 預防未來威脅的安全架構 軟體定義防護 07 關於 Check Point Software Technologies 11 03 21 37 49 59 65
  • 3. 2014 CHECK POINT 年度安全報告 02
  • 4. 03 2014 CHECK POINT 年度安全報告 簡介和 採用方法 01
  • 5. 2014 CHECK POINT 年度安全報告 04
  • 6. 05 2014 CHECK POINT 年度安全報告 01 系統、回應安全事件,以及保護系統和資料以防未來 攻擊,仍繼續是全球所有組織必須面對的核心挑戰, 無論其規模和產業為何。 超過 25 年以前,一個 UNIX 系統管理員為了追蹤一 個 75 美分的計費誤差,結果發現一個試圖從美國 政府和軍方竊取機密的東歐間諜網。他如何從一個 紅色標記開始追蹤,最終發現一個大型入侵行為, 然後和入侵者鬥智的過程,被寫成一本《杜鵑蛋》 (The Cuckoo's Egg),至今仍是網路防禦的典範。雖 然其中涉及的技術、連線方式和入侵方式,自 1980 後期以來已歷經多番重大改變,但是如何識別被駭 簡介和 採用方法 透過逐行列印出來的報表,我可以看到駭客試圖入侵 MILNET (軍事網路) 的行為。他反覆 嘗試入侵了 15 台空軍電腦位於艾格林 (EGLIN)、科特蘭 (KIRTLAND) 和波林 (BOLLING) 空軍基地的電腦,無功而返。他每連線到每一部電腦,嘗試登入一兩次,然後就將目標 轉移到下一個系統。直到試了空軍系統指揮太空司令部。他先找系統帳戶當目標,用密 碼“MANAGER"嘗試登入,沒成功。又失敗了。他接著用密碼“GUEST"測試訪客帳 戶。還是沒效。然後找現場服務帳戶,用“SERVICE"當密碼。[…] 賓果!門開了。他以 現場服務的身分登入,而非只是一般使用者。這是一個具備高階權限的帳戶。[…] 此時在 南加州埃爾賽貢多某處,一部大型 VAX 電腦就這樣被半個地球外的駭客入侵了。 克利夫‧斯托爾,《杜鵑蛋》1
  • 7. Viruses 2014 CHECK POINT 年度安全報告 01 簡介和採用方法 06 在 2013 年,數起廣受矚目的資料外洩事件使得資訊安 全獲得大眾的目光。美國情報資訊被竊和公開的事件 多次躍上 2013 年的頭條新聞,並且危及美國與世界各 國的外交關係。此外,全年還發生多起大規模的支付 卡資料被竊事件,破壞了大型零售商和無數消費者希 望的美好假期。網路攻防戰和「駭客行動主義」2 重塑 了人民和國家之間衝突的本質,甚至是「物聯網」3 的 興起,同樣將我們日常生活的更多層面帶入網格 (grid) 時代,並且容易受到相應的威脅。 在這個安全意識抬頭的環境中,未知惡意軟體出現爆 炸性成長―不只是新威脅,還有大規模製造和部署難 以偵測的威脅的方式―因此現有策略和技術的可行性 是否堪用成為問題。即使是最常見的惡意軟體,經過 證實也能抵抗現有的防禦,而且行動性、消費化和“ 影子 IT"(shadow IT,跳過 IT 部門直接運作) 的做法, 更是大幅提高安全挑戰的複雜性。 惡意軟體趨勢 蠕蟲病毒 廣告軟體 &間諜軟體 DDoS APT 1997 2004 2007 • 使用網頁基礎架構 (DNS) • 勒索軟體 • 駭客行動主義 • 國家贊助的產業間諜活動 • 次世代 APT (大量 APT 工具) 2010 2014 5 個企業需要自省的問題 1. 今日快速演變的安全狀態對貴組織的影響 有多大?您遭遇哪些威脅,最擔心的新 風險又是什麼? 2. 您遭遇哪些威脅,最擔心的新風險 又是什麼? 3. 您認為貴公司已經準備好因應挑戰 的策略和工具,或是已經被一波波 煩人的因應對策搞得昏頭轉向? 4. 您在未來一年會導入 那些新作法? 5. 您如何協助貴組織走出 更安全的腳步? Check Point 安全研究團隊分析來自超過 10,000 個 組織的一整年資料,找出了 2013 年關鍵的惡意軟體 和資訊安全趨勢,讓組織能在 2014 年和未來預先防 範。《Check Point 2014 安全報告》就是我們研究的 成果。這份深入的 2013 年安全威脅和趨勢分析能協 助安全和業務決策者瞭解他們組織所面對的威脅。報 告中還提供如何防範上述和未來威脅的建議。研究成 果的重點如下:
  • 8. 2014 CHECK POINT 年度安全報告 01 簡介和採用方法 07 24 49 mins H 27 mins 10 mins 9 mins 3 mins 1 min 每天 一個企業組織中 平均發生 每 9分鐘就有人 使用高風險的應用程式 每 27分鐘就有人下載未知的惡意軟體 每 1分鐘就有主機 存取惡意網站 每 49分鐘就有機密資料傳送到組織之外 每 24小時就有主機遭受殭屍程式感染 每 3分鐘就有殭 屍程式和其指揮與控制中心通訊 每 10分鐘就有人下載已知的惡意軟 體 來源:Check Point Software Technologies 表 1-1
  • 9. 2014 CHECK POINT 年度安全報告 08 • 因為惡意軟體的「大量客製化」4 趨勢,導致未知 軟體被使用的情形激增。組織平均每小時會遭受 2.2 個未知惡意軟體 (尚未發現的惡意軟體) 程式碼 片段的攻擊。 • 從所有方面來看,惡意軟體曝光和感染的情況都 增加了,反映出目標式惡意軟體攻擊活動越來越 成功―在 2013 年,73% 的組織被偵測到至少有 一支殭屍程式,2012 年時則只占 63%。 • 在全球企業中,每一類高風險應用程式的能見度 都增加了―例如在 63% 組織中可發現 BitTorrent 的蹤跡,2012 年時卻只有 40%。 • 各種產業和資料類型的資料外洩事件都增加了 ―88% 的組織至少發生過一次可能的資料外 洩,2012 年則只有 54%。 本報告的資料來源 《Check Point 2014 安全報告》是研究和分析來自 Check Point 安全閘道威脅分析報告 (Security Check- up)5 的安全事件、Check Point Threat Emulation6 感應 器、Check Point ThreatCloud™7 ,以及 Check Point 端點安全報告8 的成果。 我們對一共對 996 家企業進行了網路安全事件的統合 分析 (meta-analysis)。我們使用 Check Point Security Checkup 掃描這些公司入埠和出埠到網路的流量。流 量會經由 Check Point 多層式軟體刀鋒9 技術進行檢 測,以偵測出各種高風險的應用程式、入侵意圖、病 毒、殭屍程式、外洩的機密資料和其他安全威脅。以 串接或監聽 (側錄) 模式實作的 Check Point 安全閘道則 會即時監聽所有網路流量。 完全威脅概況 IT 環境使用者、資料、系統 業務目標 惡意軟體―威脅環境 瞭解貴組織 的安全性
  • 10. 2014 CHECK POINT 年度安全報告 01 簡介和採用方法 09 平均下來,每一個組織的網路流量都被監聽 216 小 時。在本次研究中的企業可視為全球多種產業的縮 影,如表 1-2 所述。 此外,我們使用由 Check Point ThreatCloud 產生的資 料分析來自 9,240 部安全閘道的事件。ThreatCloud 是 一個巨型安全資料庫,會即時更新並饋入來自感應器 的資料。這些感應器是我們策略性部署在全球各地的 大型偵測網絡。ThreatCloud 會收集威脅和惡意軟體 攻擊資訊,找出新出現的全球安全趨勢和威脅,以便 建立一個協同合作網路以對抗網路犯罪。為了本次研 究,我們彙整並分析了 ThreatCloud 2013 年一整年的 資料。 在未知惡意軟體的威脅資料方面,則是使用來自 Check Point Threat Emulation 感應器在 2013 年 6 至 12 月的資料。Check Point Threat Emulation 會對 Check Point 閘道偵測出來的可疑檔案進行雲端型沙箱和動態 分析。來自 848 部安全閘道的匿名 Threat Emulation 資料會被轉送到 ThreatCloud 進行彙整、關聯和進階 分析。 最終,我們對來自許多組織的 1,036 份端點安全報告 進行了統合分析。這項安全分析會掃描每一部主機, 確認是否有資料外洩、入侵和惡意軟體的風險。這項 分析是由 Check Point Endpoint Security 報告工具來 進行,其會檢查主機上是否有執行防毒解決方案、是 否具備最新更新,以及軟體是否為最新版本等。這項 工具免費且可以公開取得,您可以由 Check Point 網 站下載。 在《Check Point 2014 安全報告》中還會再補充一些 已經曝光的安全事件範例,以便描繪出今日威脅的本 質、對組織的影響,以及和安全社群的關聯。專家建 議則提供您確保安全策略和解決方案正確且有效,以 便防範今日安全風險的指引。本報告分為數個章節, 分別探討未知惡意軟體、已知惡意軟體、高風險應用 程式和資料外洩等問題。 美 洲 EM EA* APAC** 地理區域 24% 47% 29% 產業別 其 他 工 業 金 融 政 府 4% 電 信 1% 顧 問 46%22%15%12% * EMEA – 歐洲、中東與非洲 ** APAC – 亞太地區和日本 表 1-2 來源:Check Point Software Technologies
  • 11. 2014 CHECK POINT 年度安全報告 10
  • 12. 11 2014 CHECK POINT 年度安全報告 未知惡意軟體 的爆炸性成長 02
  • 13. 2014 CHECK POINT 年度安全報告 12
  • 14. 13 2014 CHECK POINT 年度安全報告 13 144% 新惡意軟體從 2012 年到 2013 年的增加幅度 18,000,000 2010 12,000,000 2009 18,500,000 2011 34,000,000 2012 83,000,000 2013 02 在 2013 年後期,Check Point 惡意軟體研究人員使用 Threat Emulation 服務來發現和分析一個新的惡意軟體 變種。這個變種採用多種複雜的躲避技術,能躲過代 理程式和防惡意軟體解決方案的偵測。該惡意軟體被 業界研究人員稱之為「HIMAN」12 ,可以當成具備挑戰 全球企業和 IT 專業人員的目標式攻擊特性的樣本。 未知惡意軟體的威脅 防毒和入侵防禦系統等傳統安全技術在偵測入侵已知 軟體和組態弱點時最有效。在某個程度上,它們其實 也能防範未知的入侵程式。駭客知道這一點,也樂於 利用這些技術來測試他們的新惡意軟體和入侵程式是 否會被偵測出來。 安全廠商和駭客之間的競賽導致駭客手法快速發展, 他們會不斷嘗試使用已知弱點 (也被稱為零時差攻擊, 因為從被偵測到研發出防護措施需要數小時到數天的 時間) 和未知的感染方法,試圖躲避安全防禦。 已知是有限,未知是無限 Thomas Henry Huxley11 未知惡意軟體 的爆炸性成長 來源:AV-Test.org Chart 2-1
  • 15. 2014 CHECK POINT 年度安全報告 14 每小時有2.2個 未知惡意軟體程式碼攻擊組織 HIMAN 顯示惡意軟體作者開始利用對 Windows API 呼 叫、作業系統行為和防惡意軟體工具的知識來躲避偵 測,而不浪費時間開發或購買真正的零時差弱點入侵 程式。這種複雜性也擴展到指揮與控制 (CC) 的通訊 和滲透的程序:HIMAN 可以使用預存憑證暴力破解出 埠代理程式,使用 AES14 加密收集到的資料,並且在 滲透時使用混淆手法來躲避出埠的過濾偵測。 HIMAN 成功安裝後,會與一個運作中的 CC 伺服器 建立一個經過驗證的連線,接著動態編寫和執行一個 指令檔,然後收集運作中的服務、具備系統管理員權 限的本機帳戶、其他系統組態,以及受駭電腦可以看 到的任何區域網路資訊。取得這個資訊後,攻擊者就 如同擁有一個區域網路的地圖,以及一個深入目標組 織的跳板,以便後續支援、橫向移動、滲透,以及攻 擊伺服器、系統和業務程序。 HIMAN 這支惡意軟體結合已知和少見的手法,會在目 標組織網路中建立一個據點並偷取機密資訊。我們可 以從它看出惡意軟體作者和攻擊者的彈性,以及安全 專業人員在 2013 年所面對的挑戰 一部由 Check Point 客戶訂閱 Threat Emulation 服務的 安全閘道掃描到一個 Microsoft Word 文件,附加在一封 寄件者為 boca_juniors@aol.com,主旨為“Reception Invitation"的電子郵件中。當其在沙箱環境中開啟時, 會攻擊一個已知漏洞 (CVE-2012-0158),試圖在目標 電腦的使用者 Local SettingsTemp 資料夾中寫入一 個“kav.exe"檔案。這個檔案名稱是一個誘餌,試圖 假扮 Karpersky 防毒執行檔13 。然後惡意軟體會表現出 和過去惡意軟體攻擊相關的活動,研究人員通常將這 些行為歸類於一或多個中國 APT 群組的手法。分析發 現這個檔案是兩階段的寫入,會先在進行自我安裝時 改變目標系統上的檔案名稱,然後勾住 (hook) explorer. exe 程序以載入有毒的 DLL。 Check Point 安全研究人員在資料庫搜尋已知惡意軟 體,結果發現當時沒有任何廠商的防毒軟體可以偵測 出該惡意軟體。 此惡意軟體會植入一個惡意函式庫 (mswins64.dll),使 用一連串 Windows 系統呼叫和互斥檢查,透過一個 專為躲避既有防惡意軟體偵測的方法將惡意軟體安裝 到用戶端系統。安裝完成後,此惡意軟體會使用不同 於已知惡意軟體程序的路徑寫入機碼到登錄檔―那些 路徑會被防惡意軟體緊密監控。透過利用不常使用的 API 呼叫和改變登錄檔路徑,此惡意軟體可以提高躲 避偵測的機會。 當其首次被發現時, 只有不到 10% 的防毒引擎 能偵測到未知惡意軟體
  • 16. 2014 CHECK POINT 年度安全報告 02 未知惡意軟體的爆炸性成長 15 產生未知惡意軟體非常簡單 連小孩都能辦到 意軟體保持低調,在未被偵測到的一段時間 (甚至是幾 年) 內隱密運作。最終,Stuxnet 背後的動機和被視為 高調的病毒與蠕蟲不同,如 Code Red16 和 Sasser17 等 後起者。因此,我們可以很清楚地知道 Stuxnet 的操 控者意志堅定且目標明確。 簡言之,Stuxnet 代表一種現有防毒和入侵防禦技術無 法對抗的新型惡意軟體―有目標、罕見且具有動機。 由此可知,其為一波客製化惡意軟體的先鋒,我們需 要一組新的工具和策略才能加以防禦。HIMAN 的出 現則顯示出這個趨勢持續發展,而且威脅還在不斷進 化。 為什麼事情會演變成這樣? 未知惡意軟體的進化 數年來,目標式攻擊和進階型持續威脅 (APT) 的危險 性引起資訊安全產業的高度注意。2010 年,APT 因為 Stuxnet15 而聲名大噪。這是一個高度專業、特定目的 的惡意軟體,是由國家發動且結合活動和網路攻擊的 一系列戰役之一,專為癱瘓伊朗核子離心機的控制系 統所設計。 這個新品種的惡意軟體在三方面挑戰傳統的惡意軟體 防護。首先,Stuxnet 非常專業,是針對特定系統所 研究與開發,並且只鎖定特定環境中的特定目標。再 者,其非常罕見,意即它從來沒有出現在被收集和分 析的網路中。防毒廠商十年來都是根據「大眾市場」 面對的病毒和殭屍軟體定義惡意軟體的現況。這支惡 33% 的組織下載至少一個帶有未知惡意軟體 的檔案
  • 17. 2014 CHECK POINT 年度安全報告 16 在 2013 年 10 月 22 日,一家媒體公司收到 6 封可疑的電子郵件,隨即交付給 Check Point Threat Emulation 服務進行分析。 • 寄件者:No-Replay@UPS.COM • 主旨:UPS Delivery Notification • 附件:invoiceBQW8OY.doc (MD5 ad0ef249b1524f4293e6c76a- 9d2ac10d) 當使用者開啟可能惡意的檔案時,便會啟動虛擬 沙箱自動進行模擬,結果偵測到多種異常行為: • Microsoft Word 損毀並重新載入一個空檔案 • 被寫入一個登錄檔機碼 • 終端裝置上被啟用一個新的程序 最終,Check Point Threat Emulation 判斷這個檔 案有毒。 Check Point 安全研究人員進一步分析,發現這 6 封電子郵件的文件都相同,並試圖入侵 Microsoft Word 的 CVE-2012-0158 弱點。這項弱點即為已 知的 MSCOMCTL.OCX RCE18 ,可以允許在終端 裝置上執行遠端程式碼。 分析發現這個惡意負載是 Zbot 木馬程式19 的一 個客製化變種,會透過瀏覽器中間人攻擊、鍵盤 側錄、表單攔截和其他方法竊取資訊。將這些範 本登錄到 VirusTotal20 時,發現這個有毒的附件 和 Zbot 變種的偵測率都很低 (10%)。 Check Point 安全研究人員分析下載這個惡意文 件的不同 URL,並且判斷它們傳送到被感染伺服 器的一串獨特參數,其實是用 Base64 加密的目 標設定器,其中包含被鎖定的電子郵件位址。這 些獨特的 URL 都是大型國際化組織中使用者的 電子郵件地址―包括金融機構、國際型汽車製造 商、電信公司、政府機構和北美教育和地方機構 ―都是本次攻擊的目標。這些目標顯示上述攻擊 是大型目標式攻擊的一部分,專門竊取使用者憑 證、銀行資訊和其他可以用於竊取鎖定組織中最 機密資料的可用資訊。 目標式攻擊,全球戰役 感染未知惡意軟體的檔案是 PDF 35%
  • 18. 2014 CHECK POINT 年度安全報告 02 未知惡意軟體的爆炸性成長 17 來。未知惡意軟體的有效空窗期通常為 2-3 天,因為 當其出現後,防毒廠商需要時間在全球網路中偵測出 來並為其撰寫特徵碼。 這是一個關鍵的區分,因為我們可以藉此瞭解 2013 年 惡意軟體激增的本質。 讓未知成為已知 在 2013 年,部署在全球的 Check Point 模擬引擎― 一個進階型的自動化惡意軟體沙箱―偵測到全球組織 平均每小時遭遇到 2.2 個未知惡意軟體,每天平均 53 個。 Check Point 研究發現造成這個情形有兩個主要因素: 1. 攻擊者使用自動化機制來開發大量具備躲避能力 的未知惡意軟體,然後透過相互搭配的攻擊來鎖 定全球組織,以便發揮最大效果。 2. 目前用於減緩目標式攻擊的人工調查和回應程序 無法趕上數量激增的安全事件。 2013:好的開始, 令人失望的結束 因為目標式攻擊層出不窮,還有與之對抗的新工具持 續出現,安全管理員這個角色越來越為人熟悉。對大 型公司和公共機構的安全團隊來說,自動化的網路型 惡意軟體沙箱技術是眾所周知的工具。這些安全團隊 部署沙箱來當成現有安全基礎架構的額外一層防護, 防止惡意軟體躲過閘道和端點的特徵型和信譽型防 禦。 然而,2013 年我們看到「未知惡意軟體」有大幅增加 的情況―包括使用混淆和躲避手法的 APT 攻擊,到全 球性目標型攻擊中的已知惡意軟體等 (參見〈目標式攻 擊,全球戰役〉)。雖然精密鎖定、採用特製惡意軟體 的目標式攻擊仍是一個挑戰,但今日「大量客製化」 的趨勢出現,代表以金錢為動機的其他攻擊也會使用 這些效果更強的惡意軟體。 “未知"或“零時差" 區分未知軟體和經常提到的“零時差"入侵程式很重 要。零時差惡意軟體入侵程式是過去未知且尚未被回 報的弱點,因此沒有修補程式。未知惡意軟體則是會 攻擊已知弱點或漏洞的惡意程式碼,但此時無法由最 新的防毒、防殭屍程式或入侵防禦系統 (IPS) 偵測出 表 2-2 沙箱運作原理 可疑檔案被送到本機 或外部虛擬沙箱 在虛擬作業系統中開啟 和執行未知檔案。監控 惡意軟體活動: • 登錄檔 • 檔案系統 • 服務 • 網路通訊端 如果沒問題,就前往目 的地。如果有毒,可能 的動作為: • 持續前往目的地但發 出警示 • 阻擋 虛擬沙箱 檔案未知 檔案 OK 檢測服務 透過電子郵件 附件或下載收到 檔案
  • 19. 2014 CHECK POINT 年度安全報告 02 未知惡意軟體的爆炸性成長 18 新惡意軟體的浪潮 Check Point 2013 惡意軟體分析資料顯示,在全球閘 道偵測到未知惡意軟體的頻率極高。來自外部機構的 情報確認了這些研究發現。AV-TEST21 是一家獨立的 IT 安全和防毒研究機構,每天登錄超過 22 萬個新惡意 程式。AV-TEST 單是 2013 年就登錄了超過 8 千萬個 新惡意軟體,是 2012 年的兩倍。 我們對 2013 年惡意軟體資料的研究證實了這個趨勢和 其造成的廣泛影響。在我們所有的樣本中,1/3 組織下 載過至少一個包含未知惡意軟體的有毒檔案。 2013 年的偵測分析顯示,未知惡意軟體遞送到目標對 象的方法主要是電子郵件,最常見的手法就是嵌入在 附件中。在 2013 年,PDF 是最常用的格式,進行模 擬時,我們發現在被偵測檔案中,幾乎 35% 包含專 門攻擊尚未修補的 Adobe Reader 版本的惡意軟體 (表 2-3)。後續研究發現 EXE 和壓縮格式也很熱門,占惡 意檔案分析結果的 33% 和 27%。 在我們的惡意軟體沙箱分析資料中,雖然攻擊者也會 使用其他格式,但是 Microsoft Office 的 Word (.doc) 仍是最常見的。我們一共偵測到 15 種不同的 Office 檔 案類型,包含 Word 和 PowerPoint 範本檔,以及多種 Excel 格式。即使大多數惡意壓縮檔都是 ZIP 格式―推 測是因為所有 Windows 系統都具備開啟 ZIP 檔的能力 ―Check Point 仍然偵測到使用其他主要壓縮檔格式的 惡意軟體,包括 TAR、RAR、7z 和 CAB。 組織平均每小時遭遇到 2.2 個未知 惡意軟體,每天平均 53 個 來源:Check Point Software Technologies 未知惡意軟體類型 表 2-3 PDF EXE 壓 縮 檔 5% M icrosoftOffice 35%33%27%
  • 20. 19 2014 CHECK POINT 年度安全報告 建議事項 2013 年未知惡意軟體激增,代表組織必須重新檢視部 署用來偵測和回應小量目標式攻擊的工具和程序。只 能偵測的能力需要人為進行減緩作業,並且缺乏自動 阻擋功能,會讓安全部門在阻擋未知惡意軟體攻擊網 路時疲於奔命。 模擬或進階型自動化惡意軟體沙箱功能,已經成為任 何組織必要的解決方案。即使是最具回應能力的防 毒、防殭屍程式和 IPS 解決方案,在面對未知惡意軟 體時也有 2-3 天的空窗期―對攻擊者而言,他們可以 從容利用這段時間在組織內建立據點。 未知惡意軟體大量增加的原因之一,是因為過去需要 專業的技巧和工具才能造成混淆的手法 (參見〈Crypter 的傳奇〉)22 。在本章中我們探討的案例說明現在的惡 意軟體已經更為複雜,而不僅僅是單純的變種而已。 複雜性為它們增添更多挑戰,因為許多組織在管理、 監聽和事件回應資源之外,還必須部署更精巧、聰明 的偵測和分析能力才能與之防禦。 為了躲避防惡意軟體產品的偵測,當今惡意軟 體作者維護並使用一種專用的混淆工具,稱為 “crypter"。為了確保變種可以躲避偵測,惡意 軟體作者並不會使用線上防毒掃描 (如 virusTotal) 和其他或和防惡意軟體廠商共用樣本的平台,而 是使用如 razorscanner、vscan (即為 NovirusT- hanks) 和 chk4me 等私人服務。由於在躲避防 毒偵測方面無往不利,crypter 被駭客社群歸類 為 Ud (無法偵測) 或 fUd (完全無法偵測) 的類型。 在 2013 年,Check Point Threat Emulation 偵 測到一個隱密而且過去沒有被偵測到過的惡意 軟體變種,其專為遞送 darkComet 遠端管理工 具 (RAT)23 所設計。在我們偵測到的樣本中,一 個內嵌的 Pdb 字串顯示其為一個 iJuan Crypter 的產品,可以免費下載 (Ud) 或是購買 (fUd) 取 得。 從技術上,其被歸類為 Portable Executable (PE)24 Packer,以免和如 Cryptolocker25 等加密 型勒索軟體混淆。類似這個樣本的 crypter 會使 用許多種加密和編碼方式偽裝成執行檔,精巧地 合併再合併,通常不只一次。 這個被偵測到的樣本可以躲過大多數防毒解決方 案,和不同國家被偵測到的樣本比較後發現是一 個使用相同 darkComet 負載的混淆版本,會和 相同的 CC 伺服器通訊。綜合這些發現,這兩 個不同的偵測結果―一個在歐洲,一個在拉丁美 洲―其實是同一個攻擊活動的一部分。 這些偵測結果顯示出進階型攻擊的內部分工正在 改變威脅環境,以及安全管理人員保護網路和資 料時所需的解決方案種類。 CRYPTER 的傳奇
  • 21. 2014 CHECK POINT 年度安全報告 02 未知惡意軟體的爆炸性成長 20 重要的是,這些解決方案必須是組織安全基礎架構的 一個組成部分,而不是一個在頂層運作的防護層。組 織必須尋求可以提供以下能力的模擬解決方案: • 整合—和現有的閘道、郵件和端點基礎架構無縫 整合,是在擴充和部署時不會增加複雜性和成本 的唯一方法。和郵件的整合特別重要,因為電子 郵件是用戶端面對網路時最主要的攻擊途徑。 • 防禦—只有偵測的作法不再足以對抗大量的未知 惡意軟體。組織必須尋求可以偵測和自動阻擋已 知惡意軟體的防禦型解決方案,避免它們成功抵 達目的地。 偵測 已知惡意軟體 製作 DIY 工具套件 隱匿工具/封裝工具 連接工具/繫結工具 驗證 惡意軟體檢測 未知 已經發動攻擊 惡意軟體檢測 多層式防毒掃描 NoVirusThanks DIY 工具套件/惡意軟體 工具套件 SpyEye Zeus Builder Citadel Builder 隱匿工具/封裝工具 UPX GUI PFE CX Indectables.net 連接工具/繫結工具 File Joiner EXEBundle 惡意軟體的週期 • 自動化—減少分析和減緩操作的人工程序,可以 讓組織跟上攻擊的腳步,同時解決其他安全和業 務相關的目標。自動化的防禦非常重要,但是報 告產生和工作流程整合也很重要,以便達成高效 率的通知和回應。 未知惡意軟體快速增加,明顯改變了安全領域的遊戲 規則。我們必須尋求新的策略和技術,以及達成安全 的方法。這些方法應能提供有效的防護,又不會耗盡 組織的資源。對每一個組織而言,滿足這些新需求是 首要任務,也是相當急迫的工作。同時,我們更熟悉 和已經長期確認的攻擊類型也持續造成嚴重的威脅, 需要繼續警惕並主動因應。下一章將探討已知惡意軟 體的最新趨勢。 模擬或進階型自動化惡意軟體 沙箱功能,已經成為任何組織 必要的解決方案
  • 22. 21 2014 CHECK POINT 年度安全報告 已知的魔鬼: 企業中的 惡意軟體 03
  • 23. 2014 CHECK POINT 年度安全報告 22
  • 24. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 23 03 在我們的研究中,發現這些趨勢在 2013 年不僅延續, 從惡意軟體進入組織的頻率到殭屍程式感染的範圍和 嚴重性等各方面的速度都加快了。 快不一定就是好 在 Check Point 2013 年的安全研究中,如果用一句話 來代表惡意軟體對安全管理員造成的影響,那就是組 織下載惡意軟體的頻率大幅增加了 (表 3-1)。在 2012 年進行的分析中,幾乎一半 (43%) 組織的使用者以每 天不到一個的速率下載惡意軟體,另外 57% 則是每 2 到 24 小時下載一個惡意軟體。 資訊安全成為 2013 年的多則頭條新聞。無論是國家支 持的網路監聽事件、入侵華盛頓郵報和 Yahoo 等媒體 組織的行為、Cryptolocker 等受到矚目的惡意軟體攻 擊,到零售商資料外洩等,規模和數量都遠遠超過以 往。 相形之下,2012 年則顯得平靜許多―其實從各種角度 來看,2012 年的網路攻擊並不少。之所以值得注意, 是因為這一年網路攻擊的數量和規模,包含激增的駭 客行動主義、由國家支持的入侵媒體和企業行為,以 及全球金融機構的資料外洩等。在《Check Point 2013 年安全報告》27 中,主要的惡意軟體趨勢為: • 進階型持續威脅的普及化 • 殭屍網路的滲透程度 • 弱點增加以擴大攻擊面 已知的魔鬼: 企業中的惡意軟體 的組織下載過惡意檔案 84% 數十年來我們都擔心 WMDS―大規模毀 滅性武器。現在我們應該開始擔心新類 型的 WMDS―大規模中斷性武器。 John Mariotti26
  • 25. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 24 常見弱點揭露的總數 2008 5,632 2009 5,736 2010 4,651 2011 4,155 2012 5,297 2013 5,191 相較之下,2013 年時幾乎 2/3 (58%) 的組織,使用者 不到兩個小時就會下載惡意軟體。這種組織遭受網路 攻擊步伐加快的情形,反映在我們最新安全研究的所 有數據上。在本章,我們將探討這個轉變,以及其對 安全和管理人員的具體影響,並同時瞭解為惡意軟體 作者和駭客創造攻擊面的弱點有什麼變化。 弱點更少了,或者只是美夢一場? 在 2013 年的安全環境中,唯一沒有增加的風險因素是 被發現的弱點數量。乍看之下,弱點數目呈現下降的 趨勢,因為 2012 年常見弱點揭露數目 (CVE) 較 2011 年暴增 27% 達到 5,297 個 (表 3-2)。確實,2012 年我 們看到攻擊者的目標機會大幅增加,同時擴大了安全 管理員―已經為企業環境中新出現的行動裝置和消費 者服務疲於奔命―必須防禦的範圍。 但是 2013 年的數據真的代表情況好轉嗎?從某些角度 來看,是的。弱點防禦通常包含兩個主要作法: • 為弱點套用可以取得的廠商修補檔案,以便修正 該問題。對用戶端系統而言,通常是自動完成這 項工作 (只經過一些或沒有測試);對伺服器而言, 通常需要額外的測試,以判斷修補程式不會造成 負面影響。 • 如有需要,部署入侵防禦系統 (IPS) 來進行偵測, 阻擋試圖入侵已知弱點的攻擊。有時這種作法可 充當權宜之計,直到正常修補程式週期到達時, 套用出現的更新程式為止。在其他情況下中,IPS 是當系統因任何原因無法修補時主要、長期的手 段。 表 3-1 惡意軟體下載頻率 (% 的組織) 14% 至多 2 小時 19% 2–6 小時 12% 6–12 小時 12% 12–24 小時 43% 超過 1 天 58% 13% 12% 11% 7% 2012 2013 來源:Check Point Software Technologies 來源:CVE 資料庫 58% 的組織不到兩個小時就有使用 者下載惡意軟體 表 3-2
  • 26. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 25 每 60秒就有一部主機 存取惡意網站 但情況並非完全如表面一般。雖然被發現的弱點較 少,業界專家一致認為,越來越多嚴重弱點將由灰色 和黑色市場輸出―一個可能更可怕的發展 (參考〈零時 差,牟暴利〉)。 新發現的弱點數量和安全和 IT 部門的工作量是正相關 的。在這個前提下,2013 年對工作超載的安全管理人 員看似是好消息。CVE 資料庫顯示這一年回報弱點數 目由 5,191 下降,比 2012 年同期溫和減少 2%,歸類 於「嚴重」的弱點數量下降 9%。 儘管廠商增加研究人員發現弱點的獎勵計劃,但 真正零時差弱點的高價值卻導致研究人員將它們 出售給灰帽 (gray-hat)28 政府機構―那些與駭客 合作,以擴大網路防禦能力―和進行專業滲透測 試的組織。一個更有利可圖的地下惡意軟體市場 則專門供應黑帽駭客;在這裡,未被回報的弱點 根據目標平台不同,價格也不一樣,例如 Adobe Reader 是 $5,000,而 Apple iOS 是 $250,000。 由於買家隨時可以購得零時差弱點,因此任何組 織都可以發動網路攻擊,無論他們是否具備專業 技巧。 零時差,牟暴利 目標平台 價格 Adobe Reader $5,000–$30,000 Mac OS X $20,000–$50,000 Android $30,000–$60,000 Flash 或 Java browser 外掛程式 $40,000–$100,000 Microsoft Word $50,000–$100,000 Microsoft Window $60,000–$120,000 Firefox 或 Safari 瀏覽器 $60,000–$150,000 Chrome 或 Internet Explorer 瀏覽器 $80,000–$200,000 Apple iOS $100,000–$250,000 來源:Forbes
  • 27. 2014 CHECK POINT 年度安全報告 26 即使越來越多新弱點離開「雷達」而可能落入惡意軟 體作者之手,被發現弱點的分布情形還顯示出另一個 安全和 IT 管理人員必須面對的挑戰 (表 3-3)。在 2013 年,Oracle 仍是被發現最多弱點的主要平台,原因是 許多 Java 產品被廣為使用在伺服器和用戶端應用程式 中,也因此成為攻擊者更主要的目標。Microsoft 名次 則下降到第四位,落後於 Cisco 和 IBM 產品被發現的 弱點數目。弱點包含 IPS 防護政策和監聽功能無法涵 蓋的大型伺服器和網路基礎架構元件。 雖然絕大多數組織都已經制定一個程序來定期部署 Microsoft 修補程式,但這個程序並無法一體適用在如 Java 和 Adobe Reader 等用戶端應用程式上,因此這 個缺口導致上述應用程式容易遭到瀏覽器型攻擊的魚 叉式釣魚 (目標型網路釣魚電子郵件) 和水坑 (watering hole) 攻擊。上述攻擊的原理是攻擊者會入侵一個合法 網站並嵌入惡意軟體,然後感染任何瀏覽這個特別網 頁的任何用戶端。 端點:未修補、 未限制和未準備 從我們 2013 年的端點安全研究數據證實,跟上修補程 式仍是一個重大挑戰,特別是針對用戶端系統 (表 3-4) 。儘管業界已經廣泛定期套用 Microsoft 修補程式, 在分析中仍有 14% 的端點沒有安裝 Microsoft 最新的 Service Pack,這些服務套件中包含過去所有發布的修 補程式和更新。更重要的是,33% 的企業端點沒有使 用最新版本的用戶端軟體,如 Adobe Reader、Adobe Flash Player、Java 和 Internet Explorer,這些缺口容易 導致用戶端遭受攻擊。 2013 廠商主要弱點揭露 (弱點數目) 表 3-3 160 Mozilla 175 Sun 190 Linux 191 Redhat 192 Apple 192 Google 345 Microsoft 394 IBM 433 Cisco 496 Oracle 每10分鐘就有主機 下載惡意軟體 來源:CVE 資料庫
  • 28. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 27 2013 2012 表 3-5 * Java+Oracle+Sun Solaris 主要安全廠商的 安全事件 (% 的組織) 4% 4% 3% 2% 15% Oracle* CA Technologies Novell 3Com 4% 2% 5% Squid 10% 1% VideoLAN 15% 13% Adobe 67% Microsoft 陷入困境的安全和 IT 管理者還沒有獲得新希望,而且 2013 年環境變得對攻擊者非常有利: • 更多沒有被發現和修補的弱點出現在黑市 • 戶端普遍沒有受到保護 • 弱點數目轉變到比較不會定期修補的應用程式和 平台 此外在被研究的主機中,幾乎 1/5 (18%) 並沒有具備 最新防毒解決方案的特徵檔 (病毒碼),使得情形更為 惡化。這個疏失的後果可能非常大;成功在受駭用 戶端建立據點的攻擊者可以取得一個穩固的平台來探 索目標組織的網路其他部分。在被分析的企業端點 中,38% 的使用者擁有本機系統管理員權限,因此惡 意軟體可以直接以 root 權限執行而不受限於使用者的 身分。 23% 14% 33% 18% 53% 38% 主機使用者擁有系統管理員權限 主機至少安裝了一個以上的藍牙裝置 主機沒有更新防毒特徵 (病毒碼) 主機沒有更新軟體版本* 主機沒有安裝最新的 Service Pack** 主機沒有運作桌面防火牆 企業端點弱點和設定錯誤 (% 的主機) 來源:Check Point Software Technologies 來源:Check Point Software Technologies 表 3-4 68% * 以下軟體經過檢查:Acrobat Reader、Flash Player、Java、Internet Explorer ** 以下 Microsoft Windows 平台經過檢查:Windows XP、Windows 2003、Vista、2008、2008 R2、Windows 7
  • 29. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 28 攻擊者不僅鎖定 Windows 我們 2013 年研究的攻擊資料顯示,攻擊者正在適應 企業網路中的這些目標機會 (表 3-5)。Microsoft 仍然 是 2013 年的主要遭受攻擊平台,被分析組織中至少 67% 至少受過一次攻擊,自 2012 年小幅下滑。攻擊 Adobe (Reader 和 Flash Player) 和 VideoLAN (VLC 媒體 播放器) 次數增加,顯示出目標轉向終端使用者應用程 式。而對基礎架構設備和平台的高度關注是顯而易見 的,對 Squid (代理和網頁快取)、3COM (交換器和路 由器) 和 CA (分析和身分識別) 發動攻擊的機會更大。 事實上,攻擊跨平台的分布反映了 Chris Anderson29 在 2006 年發表的「長尾」(long tail) 現象。被鎖定的平台 軌跡是一條「由利基市場到無限大」的直線,進而驗 證了現代網路攻擊的金錢動機、以市場為導向的商業 模式。 長尾現象 所有安全廠商的安全事件 Adobe15% Novell2% HP0.4% 3Com 4% Apache1% Yahoo0.2% VideoLAN 10% Aurigma2% AOL0.3% Oracle4% Apple1% PHP0.2% BitTorrent0.2% WWF0.2% Microsoft67% CA3% HylaFAX1% Squid4% LANDesk2% RealNetworks0.2% 表 3-6 來源:Check Point Software Technologies
  • 30. 29 2014 CHECK POINT 年度安全報告 伺服器是價值所在 在 2013 年,Check Point 研究發現伺服器仍然是網路 型入侵防禦系統 (IPS) 偵測到的主要攻擊目標,占幾乎 一半的數目 (表 3-7)。考慮到上述用戶端系統的脆弱, 我們不禁想問:為什麼要攻擊最經常修補和嚴加保護 的伺服器?答案和 Willie Sutton 搶劫一家銀行的理由 相同。他是這麼說的:「因為那才是放錢的地方。 」30 應用程式伺服器必須面對網路,有時甚至必須放 在 DMZ 中面對網際網路的存取,此時自動化攻擊對伺 服器非常有效,因為它們可以入侵服務或應用程式的 弱點而不引起使用者注意。攻擊者會從網路外部或一 個被駭的內部用戶端,掃描伺服器的連接埠和服務, 然後鎖定其上執行的應用程式版本或作業系統加以攻 擊。因此,這些遠端攻擊如果成功,攻擊者就可以獲 得系統的遠端控制能力。 的主機並未使用更新的軟體版本 33% 安全事件―依平台 占 2013 總數的 % 伺 服 器 用 戶 端 32% 68% 表 3-7 主要攻擊管道 (% 的組織) 表 3-8 51% 程式碼執行 47% 記憶體損毀 緩衝區溢位 36% 阻斷服務 23% 資訊外洩 16% 整數溢位 12% 躲避驗證 9% 暴力攻擊 2% 緩衝區溢位 2% 權限升級 1% 註冊欺騙 0.2% 來源:Check Point Software Technologies 來源:Check Point Software Technologies
  • 31. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 30 電子郵件仍然是惡意軟體最喜歡的散播管道。一 個 2013 年的範例顯示,即使到今天,終端使用 者對簡單的攻擊還是不夠謹慎,為惡意軟體創造 了一個在許多組織之間散布的機制。 在 2013 年 10 月,一個在法國大型製造商工作 的員工收到一封電子郵件,主旨是:「Blagou- nette du jour」(每日笑話)33 。這封電子郵件的附 件是一個 6MB 的 Microsoft Excel 檔。 在虛擬沙箱中自動分析這個可疑的傳入文件後, 發現這個 Excel 檔案會用 Excel 應用程式解壓縮 一個圖片檔到電腦的檔案系統,然後改變登錄檔 的桌布機碼到這個新的圖片。由於這張圖片通 常都是幽默的,毫無警覺的使用者很容易就會將 這封電子郵件轉寄給朋友和同事,分享這個「玩 笑」。實情的確就是如此,因為這個檔案被轉送 到至少三個其他大型的法國組織。 幸運的是,這個文件並沒有夾帶惡意負載,也並 非專為損害開啟郵件者的電腦所設計。然而,它 包含了所有目標式惡意軟體攻擊的所有要件。開 啟這份文件的使用者會讓自己的電腦和組織暴露 在明顯的風險中,那些轉發給同事和在其他組織 內朋友的人則成為散播這個每日玩笑的新媒介, 這真的不是可以開玩笑的事情。 本日笑話: 終端使用者仍然是脆弱的一環 在我們 2013 年研究中,觀察到的主要攻擊管道 (表 3-8) 大多是遠端程式碼執行 (RCE)31,而前三大攻擊 類型則為程式碼執行、記憶體損毀和緩衝區溢位。 而阻斷服務 (DoS) 攻擊可以是對服務器發動攻擊的煙 幕,誘使對方忽略一個遠遠更為低調的伺服器攻擊。 但是當煙霧消散,攻擊就已經完成,目標伺服器遭到 攻陷。 用戶端:未修補、未限制和未準備 用戶端也是一個現成的目標,特別是網路型攻擊試圖 在一個內部網路或未受防護的公眾網路上擴散時。除 了沒有安裝修補程式和 Service Pack 來修補已知和容 易被鎖定的服務 (如 RPC32) 之外,用戶端還經常停 用重要的防護能力而導致被駭。例如,在 Check Point 分析的企業端點中,幾乎 4/5 (23%) 沒有啟用桌面防火 牆,卻有超過一半 (53%) 啟用藍牙,讓自己暴露在公 用領域的無線攻擊之中。 用戶端系統還提供了其他被駭的管道,主要是攻擊使 用者使用電子郵件或網頁瀏覽的行為。我們 2013 的 分析數據顯示這些領域的惡意軟體活動都增加了,並 且轉移到大量客製化。
  • 32. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 31 而不是用一封很容易被發現的網路釣魚電子郵件發送 給整個組織。這些攻擊會鎖定組織中的一或兩個使用 者,和 2012 年相比,這種方法更為有效,主機存取 惡意網站的次數上升了 20%。 這個趨勢也說明為什麼 2013 年主機下載惡意軟體次數 激增。被分析的組織中 76% 有 1-4 部主機下載了惡意 軟體,較 2012 年增加 69%,不過所有其他使用者的 發病率還是相同或有下降 (表 3-10)。 2013 年,少數主機存取惡意網站,和絕大多數組織下 載惡意軟體的情形,導致惡意軟體活動整體加速。平 均而言,主機每分鐘就存取一個惡意網站,而每 10 分 鐘就會下載一個惡意軟體。 在 2013 年,訪問一個惡意網站的發生率持續上升。我 們的研究顯示,平均每 60 秒就有一部主機存取惡意網 站。表 3-9 顯示存取惡意網站數目的分布,從 2012 年 起維持不變 (除“1-2 部主機"的例外情形)。這個明顯 的好消息卻掩蓋了另一個更深層的問題。因為它是魚 叉式網路釣魚攻擊的一部分,會鎖定組織中的部分使 用者,然後透過社交媒體手段產生一份很容易被收件 者開啟的電子郵件。 表 3-9 存取惡意網站―根據主機數 目 (% 的組織) 36% 20% 18% 12% 31% 18% 20% 16% 15% 15% 超 過 16 部 主 機 9–16 部 主 機 5–8 部 主 機 3–4 部 主 機 1–2 部 主 機 2013 2012 的組織至少感染 1 支殭屍程式, 2012 年時只有 63% 73% 49% 的組織有 7 部以上主機受到殭屍程式感染 來源:Check Point Software Technologies
  • 33. 2014 CHECK POINT 年度安全報告 32 CryptoLocker 是一種被稱為「勒索軟體」的已知 惡意軟體,最早在 2013 年 9 月被發現。與其他 類型的勒索軟體相同,CryptoLocker 會將自己安 裝在受駭電腦中,並在背景加密各種使用者資料 檔案而不讓終端使用者發現。 當加密階段完成後,CryptoLocker 會在螢幕顯示 提示訊息,告知使用者他們的檔案已經成為「人 質」,必須付錢給犯罪份子才能解密檔案。說明 宣稱如果使用者沒有在一定時間 (通常不到 4 天) 內遵照這個要求,犯罪份子就會從伺服器上刪除 解密金鑰,讓受害者的資料永遠無法復原。 目前尚無其他方法可以回復存取被加密的檔案。 CryptoLocker 的一個重要特徵,就是惡意軟體代 理程式在開始對檔案進行加密前,會需要和指揮 與控制 (CC) 伺服器進行一次通訊。阻擋 Cryp- toLocker 最有效的方式,就是偵測並阻擋代理程 式的這個通訊,避免其連線到 CC 伺服器並啟 動加密程序。 CryptoLocker 顯示出雖然殭屍程式偵測通常被當 成回應對策,但在進行進階型惡意軟體防禦時, 也能扮演主動、預防性的角色。在 2013 年末 CryptoLocker 橫行時,有使用智慧型防殭屍程式 解決方案的組織都可以減緩 CryptoLocker 造成 的損害,因為它們不僅能識別出遭受感染的用戶 端,還能擋下關鍵性的首次 CC 通訊。 阻擋 CRYPTOLOCKER 表 3-10 下載惡意軟體的主機數目 (% 的組織) 5–8 部 主 機 9–16 部 主 機 5% 3% 17–32 部 主 機 4% 超 過 33 部 主 機 1–4 部 主 機 76% 12% 平均來看,每分鐘都有主機存取惡意網 站,每十分鐘就有人下載惡意軟體 來源:Check Point Software Technologies
  • 34. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 33 殭屍程式擴展它們的接觸範圍 滲透活動的增加是在預料之中,Check Point 研究發現 在 2013 年的殭屍程式感染和活動情形都相對增加了。 如果滲透的主要方式是低流量的目標式攻擊,則殭屍 程式則正朝相反方向發展:數量多且頻率高。在 2013 年,有 22 部或更多主機被殭屍程式感染的組織增加了 近 400% (表 3-11),但是較小型殭屍程式攻擊的情形 是減少的。 這並不能代表殭屍程式感染的情形整體減少,因為有 超過 1/3 (38%) 的組織仍然有 1-3 部主機遭到殭屍程式 入侵。 此外,隨著新一代勒索軟體出現,感染殭屍程式的贖 金也越來越高,如 2013 年末爆發的 CryptoLocker 就 是一例 (參見〈阻擋 CryptoLocker Blocker〉)。 不只是組織為了環境中更常發生的殭屍程式感染疲於 奔命,殭屍程式本身也更為活躍。殭屍程式和 CC 伺 服器的通訊頻率在 2013 年大幅增加,47% 的組織偵 測到每小時出現一次以上的 CC 通訊,較 2012 年超 過 88% (表 3-12)。在我們整體研究樣本中,殭屍程式 平均每三分鐘就和 CC 伺服器通訊一次。每一次通 訊都有可能是殭屍程式接收指令和將機密資料傳送到 組織外部的動作。這個 CC 通訊頻率增加的情形,對 極力保護資料和系統安全的組織而言是一個嚴重的威 脅。 感染殭屍程式的主機數目 (% 的組織) 超過 35 部主機 22–35 部主機 10–21 部主機 7–9 部主機 4–6 部主機 1–3 部主機 6% 16% 7% 18% 18% 10% 8% 18% 14% 48% 38% 0% 表 3-11 2013 2012 來源:Check Point Software Technologies
  • 35. 2014 CHECK POINT 年度安全報告 34 77% 的殭屍程式可以活躍超過四週 77% 23% 超過四週 不到四週 表 3-12 殭屍程式和指揮與控制中心 通訊的頻率 (% 的組織) 2013 2012 超過 4 小時 2–4 小時 1–2 小時 至多 1 小時 24% 10% 3% 6% 45% 40% 25% 47% 防禦殭屍程式更為重要, 也更具挑戰 頻率增加也代表安全管理人員有了更多可以偵測、 阻斷和終止網路中殭屍程式感染情形的機會。偵測出 殭屍程式通訊通常不難;殲滅殭屍程式而不用重新回 復受駭系統的映像才是難處所在。有效阻擋殭屍程式 通訊已經成為殭屍程式攻防戰最難的一部分,因為以 DGA 為基礎的殭屍網路使用更新、更複雜的 CC 管 道,以便躲避傳統篩選和阻擋的工具 (參見〈不再是老 爸的釣魚活動〉)34 。 來源:Check Point Software Technologies 來源:Check Point Software Technologies 殭屍程式會試圖 每三分鐘和 CC 伺服器 進行通訊
  • 36. 35 2014 CHECK POINT 年度安全報告 在 2013 年,Check Point 安全和惡意軟體研究小 組分析網路釣魚活動發現,今日網路釣魚攻擊使 用的手法越來越精細,以躲避傳統防禦核心的黑 名單功能,包含使用某些類型的動態 URL 架構 來躲避靜態黑名單的偵測。在 Nuclear 入侵程式 工具包的相關網路釣魚活動中,這種架構還能抵 抗惡意軟體研究人員的分析。 我們的研究人員分析 CryptoLocker 之後,還發 現了這個趨勢的另一面:身為一個網域產生演算 法 (DGA) 型的殭屍網路35 ,CryptoLocker 會採用 動態、看似隨機產生的網域名稱,建立殭屍程式 和 CC 伺服器之間的通訊。CryptoLocker 殭屍 程式每天會產生 1,000 個新網域,而另一方的 CryptoLocker 管理人員就會註冊相同的 1,000 個 新網域,然後在 24 小時內就捨棄不用。結果, 建立和維護已知惡意 URL 和網域黑名單的產業 資源幾乎無法偵測和記錄下這些惡意網域。 總體上看,最近的惡意軟體活動突顯出在攻擊中 動態 URL 和網域名稱的重要性,特別是在躲避 傳統上用來偵測和阻擋網路釣魚和殭屍程式的靜 態黑名單功能時。動態 URL 和 DGA 採用網際 網路本身的基礎架構,產生出可以混淆或單次使 用的變種。這些威脅可以混淆傳統的系統防禦手 段,因為它們只會尋找和阻擋過去在全球網路上 被發現且判斷為惡意的流量位址。 這些觀察反映出一個惡意軟體產業更大的趨勢。 攻擊者正在攻擊網域名稱系統和傳統 URL 黑名 單方法的弱點,以躲避現有的防禦而到達攻擊 目標。在 2013 年第二季的研究發現中,Anti- Phishing Working Group (APWG)36 發現最上層網 域 (TLD)37 中,.com 雖然還是最常用於網路釣魚 活動 (所有網路釣魚的 44%,較 Q1 的 42% 增 加),某些國家的 TLD 被用於網路釣魚攻擊的數 量超過實際註冊者;例如巴西 (.br) 只有 1% 的 註冊網域,但是卻有 4% 的網路釣魚電子郵件 TLD。網路釣魚者和惡意軟體作者正利用各國所 有可用的 TLD 域名,產生大量的唯一網域名稱 和 URL,而為了預防這種濫用情形而設立的管制 措施卻完全無法發揮作用。APWG 的《全球網路 釣魚調查,2013 年上半年:趨勢和網域名稱使 用》38 報告詳細揭露了網域名稱在網路釣魚攻擊 中的作用,並發現網域註冊商若不是心不在焉, 就是網路釣魚者的幫兇。 問題是情形只會更糟。2013 年,網際網路名稱 與號碼指配組織 (ICANN)39 宣布新計劃,將最上 層網域數目由現在的 22 個增加到 1,400 個,包 含非拉丁字元的網域,如阿拉伯文、中文和西里 爾 (Cyrillic) 字母等。而 APWG 指出,非拉丁字元 LTD 已經面世多年,尚無發現網路釣魚者顯著使 用的跡象,因此我們有充分理由相信,攻擊者將 會開始利用這些字元,因為安全廠商只對阻擋使 用拉丁字元的 URL 和釣魚網域方面有經驗。上 述字元會測試出用已知惡意或可疑 URL 為基礎 的所有黑名單和 URL 篩選技術 (無論是本機或雲 端型) 的極限,並會形成一個幾乎無限大的單次 使用 URL 集區,這些 URL 可以被用於網路釣魚 電子郵件,網域名稱被用於 DGA 型殭屍網路。 不再是老爸的釣魚活動
  • 37. 2014 CHECK POINT 年度安全報告 03 已知的魔鬼:企業中的惡意軟體 36 • 具備 URL 篩選能力的閘道和端點防毒—組織必須 可以偵測和阻擋惡意軟體,以及試圖連線到已知 為惡意軟體分發網站的行為。 • 閘道防殭屍程式—除了偵測惡意軟體,這些解決 方案應該具備可以阻擋 DGA 型殭屍程式通訊的智 能。 • 擴充型 IPS 防護—除了監聽之外,您還應該可以 啟用阻擋嚴重攻擊的功能。系統應能保護網路、 伺服器,以及來自 Cisco 和其他廠商的 IT 基礎架 構系統和平台,而不只是 Microsoft Windows。 • 全方位的系統和應用程式維護—確保已經準備好 所有系統和應用程式的弱點管理和修補程序,包含 Java 和 Adobe Reader,而不只是 Windows 用戶端 和伺服器。 • 用戶端和伺服器設定的最佳作法—包含限制系統 管理員權限的使用,停用 Java 和其他指令檔執行 功能,以及限制使用者可以安裝在端點的應用程 式項目。 在下一章,我們將探討在 2013 年研究中,應用程式 和其對企業資料和終端使用者造成何種風險的研究結 果。 建議事項 Check Point 分析 2013 年威脅環境,結果發現所有類 型的惡意軟體活動都是增加的。增加的部分主要在三 個方面: • 更多滲透活動,使用者經由惡意網站、電子郵件 和下載接觸到惡意軟體 • 後期感染威脅增加,經由更頻繁的 CC 通訊造成 更大規模的殭屍感染情形 • 出現更多針對多種平台的攻擊,不只會鎖定伺服 器和 Windows 用戶端,還會針對網路和伺服器基 礎結構,以及較少受到管理的應用程式 整體而言,網路攻擊活動加速的情形,對企業業務和 安全主管造成令人卻步的挑戰。事實上,單是為了對 抗 《Check Point 2013 安全報告》中所述的惡意軟體 挑戰已經讓他們備感壓力。組織有效防範這個惡意軟 體活動倍增,以及對抗攻擊、感染和擴散加快的唯一 作法,就是採用自動化和可協同合作的多層式防護。 必要的防護包含:
  • 38. 37 2014 CHECK POINT 年度安全報告 毀滅的欲望: 04 企業中的 高風險應用程式
  • 39. 2014 CHECK POINT 年度安全報告 38
  • 40. 39 2014 CHECK POINT 年度安全報告 04 檔案等功能。高風險應用程式如果不是運作在官方認 可的 IT 和解決方案之外,就是在它們的邊緣,並且成 為“影子 IT"(“shadow IT",由終端使用者自行管理 的應用程式、裝置和服務) 的一部分。雖然它們運作在 企業網路內,卻只受到極少或沒有任何管理。 應用程式控制代表一個可以補強外部網路攻擊的內部 挑戰。應用程式對所有組織的生產力和每日例行運作 是不可或缺的,但是它們也會對安全狀態造成一定 程度的安全弱點。從安全的角度來看,它們就像是 George Orwell《Animal Farm》41 中的居民:所有應用 程式都平等,但有些比其他得更平等。 高風險應用程式就是這一類挑戰的縮影。與 Microsoft Office 和被廣為接受的 Web 2.0 社交媒體應用程式 ( 如 Facebook、LinkedIn、Twitter、WebEx 和 YouTube) 等生產力應用程式不同,高風險應用程式提供匿名網 頁瀏覽、雲端儲存和共用檔案、遠端使用桌面應用程 式和資料,以及在使用者和電腦之間共用媒體和其他 毀滅的欲望: 企業中的高風險應用程式 的組織擁有至少一個高風險應用程式* 86% 但是如果我們連上網路,整個 世界都近在咫尺。 尼爾‧史蒂芬森,《數碼寶典》40 * P2P 檔案共用、匿名工具 (anonymizer) 和檔案儲存與共用
  • 41. 2014 CHECK POINT 年度安全報告 04 毀滅的欲望:企業中的高風險應用程式 40 主要高風險應用程式 ―各區域 美國 APAC** 匿名工具 Ultrasurf · Tor · Hide My Ass! P2P 檔案共用 BitTorrent Protocol · Xunlei · Soulseek 檔案儲存與共用 Dropbox · Windows Live Office · Hightail (先前為 YouSendIt) 遠端管理 TeamViewer · RDP · LogMeIn 匿名工具 Tor · Ultrasurf · Hotspot Shield P2P 檔案共用 BitTorrent Protocol · Soulseek · Box Cloud 檔案儲存與共用 Dropbox · Windows Live Office · Hightail (formerly YouSendIt) 遠端管理 RDP · LogMeIn · TeamViewer EMEA* P2P 檔案共用 BitTorrent Protocol · Soulseek · eDonkey Protocol 檔案儲存與共享 Dropbox · Windows Live Office · Hightail (formerly YouSendIt) 遠端管理 RDP · TeamViewer · LogMeIn 匿名工具 Tor · Hide My Ass! · OpenVPN 來源:Check Point Software Technologies 表 4-1 * EMEA – 歐洲、中東與非洲 ** APAC – 亞太地區和日本
  • 42. 2014 CHECK POINT 年度安全報告 04 毀滅的欲望:企業中的高風險應用程式 41 匿名的危險 匿名者應用程式的用途,主要是讓使用者瀏覽網際網 路和觀看網站時可以保持匿名。它們一般都是建立一 個加密通道連接到一組 HTTP 代理伺服器,讓使用者 可以穿越防火牆和內容篩選的限制。部分 (如 Tor) 匿名 者使用額外的路由混淆手法,甚至是額外的軟體或瀏 覽器外掛程式,讓使用者可以掩蓋行蹤和躲避雇主、 政府和其他人的控制。 在 2013 年,Check Point 研究發現在企業網路中使用 匿名者的情形整體增加了,超過一半 (56%) 的受訪組 織註冊至少一個匿名者,比 2012 年增加 13%。 2012 年 Check Point 安全研究發現,高風險的 Web 2.0 應用程式遍及所有企業基礎架構,並且造成遭受攻 擊和資料外洩的顯著風險。我們在 2013 年企業網路 安全的分析發現,即使它們的風險眾所周知,所有類 別的高風險應用程式出現率都增加了 (表 4-2)。本章將 探討針對各個類別的調查結果,並且提出減緩此一挑 戰的建議。 Chart 4-2 組織使用高風險應用程式的比例 (% 的組織) 2012 2013 匿名工具 P2P 檔案共用 檔案儲存與共用 遠端管理 43% 56% 61% 75% 80% 86% 81% 90% 來源:Check Point Software Technologies 研究發現在企業網路中 使用匿名工具的情形整體增加了, 超過一半 (56%) 的被分析組織註冊 了至少一個匿名工具
  • 43. 2014 CHECK POINT 年度安全報告 42 Tor42 亦被稱為 The Onion Router,在我們 2013 的研究中再次成為最被廣為發現的匿名者應用 程式。Tor 已經被知道利用來當成匿名瀏覽的載 具,也可以容易地繞過組織的安全政策,但是在 2013 年,它因為被當成深網 (Deep Web) 的入口 而再次聲名大噪。深網是開放式和可搜尋網際網 路 (或被稱為「表層網」(Surface Web)43 ) 的深海 層。由於深網具備不易被標準搜尋工具檢索的特 性,2013 年因為美國和國際加強監視和隱私而 受到注意,並因 Silk Road (黑市購物網站)44 遭到 破獲而惡名昭彰。 其他匿名者應用程式也造成相似的管理挑戰,但 是 Tor 的角色是扮演 Onionland 網站和深網中 其他區域的閘道,使其成為安全管理人員的特定 風險。雖然其為巨大的地下體系提供匿名性和一 個市集,深網中也充斥著惡意軟體和詐騙。因此 組織應該擔心員工使用 Tor 來躲避實體或預防 性監視,最終會將他們的電腦和組織暴露在高 度的風險中。最近,研究人員已經確認,使用 ChewBacca45 從多家零售商竊取信用卡資料的遠 端存取木馬程式,就是使用 Tor 散布到伺服器的 降落區。 言論自由和匿名性是不可缺少的自由,而且必須 保障每一個人。然而,對企業環境中的安全管理 員而言,偵測和阻擋在公司系統和企業網路上使 用 Tor 和其他匿名工具,一定是 2014 年和將來 的主要工作目標。 通往深網之路 個別匿名工具出現不規則的成長,但是與 2012 年相 較,在組織中偵測到的 Tor 的確比較少了:2013 年 15%,相較於 2012 年的 23% (表 4-3)。這反映出企業 安全政策對 Tor 的關注和限制越來越多,並且有很好 的理由 (參見〈通往深網之路〉)。然而,這個結果也 可能是因為一部分比較少在公司系統和網路上進行匿 名瀏覽,或是使用者轉而使用其他較不知名的匿名者 應用程式所造成,因為其被公司政策阻擋的可能性也 比較低。 表 4-3 2012 2013 OpenVPN 3% 10% Hide My Ass! 7% 12% CoralCDN10% Tor 23% 15% Ultrasurf 8% 14% 最熱門的匿名者應用程式 (% 的組織) 來源:Check Point Software Technologies
  • 44. 2014 CHECK POINT 年度安全報告 04 毀滅的欲望:企業中的高風險應用程式 43 表 4-4 2013 2012 匿名工具使用情形―依區域 (% 的組織) 54% 49% 58% 40% 54% 35% EMEA APAC 美洲 經由自由言論和隱私提倡者的吹捧,匿名工具協助保 護了在政局動盪的國家中異議份子的秘密―甚至是生 命。最近,在 2013 年人們發現了由國家贊助的監視 計劃,使得歐洲和亞洲使用者成為真實或預期網路監 聽的避難所。在不同區域偵測到的企業網路中匿名工 具出現率證明了這一點,同時也指出在美國的安全管 理員,在限制使用這類高風險應用程式方面相對成功 ( 表 4-4)。 如同神話中的九頭蛇46 ,如果系統管理員可以成功在 2013 年切斷 Tor,只會看到六個以上的匿名工具取代 它的地位。與 2012 年相比,其餘前十大匿名工具的 出現率都增加了。 誰看起來最可疑? 在我們的 2013 年研究中,被偵測到最多的高風險應 用程式類別是遠端管理應用程式。最知名的例子是 Mi- crosoft Remote Desktop (RDP),但是還有很多其他程 式在各地被廣泛使用,如 TeamViewer 的熱門程度就 比 2012 年上升很多 (表 4-5)。這些應用程式都有合法 用途,讓 IT 和公司服務台部門可以服務和管理散布各 地的員工桌面 (參見〈遠端管理工具:善、惡、醜〉)。 然而,許多組織在出現策略性需求時都隨意採用這些 工具,也因此與其使用一個標準化的遠端管理應用程 式,IT 部門會採用三個或更多以上的應用程式,視平 台、連線和工作而定。在 2013 年,遠端管理應用程 式是唯一在垂直產業中出現率最高的應用程式,這個 領域中 90% 的企業都被偵測到至少出現一個這類應用 程式的現象。 主要的遠端管理應用程式 (% 的組織) 表 4-5 RDP 71% 71% TeamViewer LogMeIn 50% VNC 21% GoToAssist RemoteSupport 8% Ammyy Admin 7% 來源:Check Point Software Technologies 來源:Check Point Software Technologies
  • 45. 2014 CHECK POINT 年度安全報告 44 P2P 檔案共用:對工作不安全 點對點 (P2P) 檔案共用應用程式被用來在使用者間分 享檔案。由於經常被用來分享有版權的資訊、合法和 盜版軟體,以及其他媒體,P2P 檔案共用是散布惡意 軟體者最喜歡的平台,因為可以將其嵌入在共用的檔 案中。除了散發惡意軟體到不知情或措手不及的使用 者,P2P 應用程式可以在企業網路建立後門―可以讓 攻擊者進入網路和竊取機密資料到網路外的管道。 而且,經常使用 P2P 應用程式 (如 BitTorrent) 分發有 版權的音樂和影片檔案,會使組織遭到美國唱片業協 會 (RIAA) 的法律訴訟。RIAA 已經和網際網路服務提供 者 (ISP) 合作,積極追究分發盜版未經授權內容的源頭 (表 4-6)。在 2013 年,BitTorrent 仍然是最熱門的 P2P 檔案共用應用程式,2012 年只被偵測到出現在 40% 的組織,在 2013 年增加到 63%。所有地區的 P2P 檔 案共用應用程式出現率都增加了。 主要的 P2P 檔案共用應用程式 (% 的組織) 表 4-6 10% Box Cloud 13% Xunlei 14% eDonkey Protocol 25% Soulseek BitTorrent Protocol 63% 因為縮寫 (RAT) 相同,遠端管理工具有時會和遠 端存取工具混淆。在實務中,雖然遠端管理工具 帶著顯著的安全和營運風險,但類型與遠端存取 工具 (如 ChewBacca、Poison Ivy48 、DarkComet 和著名的 Back Orifice49 ) 仍然不同。其本質是木 馬程式,因此遠端存取工具在企業網路中沒有合 法用途,並且由於其為主要威脅,偵測到它們時 應該快速移除、補救和進行可能資料外洩的鑑識 分析。 另一方面,最知名的遠端管理工具經常散布在網 路各處,因為 IT 和企業服務台團隊需要用它們 來對不斷擴大的終端使用者裝置和平台,提供解 決問題和提供應用程式與資料存取能力。遠端管 理工具 TeamViewer 就是這些工具的一個最佳範 例。在 2013 年,TeamViewer 在受調查網路上 出現率暴增,緊追在後的是免費版的 LogMeln, 以及一組對非 Windows 平台、會議和協同合作 功能提供多種支援,並在多種連線狀況中都具備 穩定效能而無須如同 RDP 般改變防火牆設定的 擴充功能組。 這是有代價的,因為這些功能使其成為 IT 部門 最喜歡的工具,也使其成為終端使用者利用智慧 型手機、平板電腦或家中 PC 從遠端存取工作電 腦的工具。這會造成企業網路的漏洞,讓組織安 全性遭遇風險。在這種情況下,即使是善意的員 工也可以把一隻善良的老鼠變成骯髒的老鼠。 遠端管理工具: 善、惡、醜 來源:Check Point Software Technologies
  • 46. 2014 CHECK POINT 年度安全報告 04 毀滅的欲望:企業中的高風險應用程式 45 Dropbox 被發現出現 在85%的組織中 在啟用這項能力時,檔案儲存和共用應用程式扮演著 重要的角色,可以讓使用者輕鬆地將內容儲存在裝置 的資料夾中,然後自動複寫至雲端,並同步到所有其 他相關的裝置。和其他使用者分享也很簡單,只要傳 送連結給其他收件人,他們就可以存取甚至修改共用 的檔案。 顯而易見,這種共用的便利性暴露出組織中「過度共 用」的顯著風險,無論是不慎或是故意的,因為使用 者會將工作中受保護系統上的機密公司資料同步到其 他未受保護的裝置,甚至是和其他使用者共用的資料 夾中。 在 2013 年,Dropbox 擴大領先地位,成為最熱門的 檔案儲存和共用應用程式,在被分析的網路中偵測到 85%,出現率由 2012 年的 69% 大幅增加 (表 4-7)。和 2012 年同期相比,幾乎所有其他主要的檔案儲存和共 用應用程式出現頻率都下降了,部分反映出企業已經 整合成單一個企業認可的應用程式,但同時終端使用 者仍然喜歡使用 Dropbox,使其成為企業環境“影子 IT"50 基礎架構的一部分。 社交動物 社交媒體平台是 Web 2.0 的整合功能之一,並且廣為 企業 IT 環境接受 (有時勉強接受)。在《Check Point 2013 安全報告》中,我們說明 Facebook 為什麼會讓 員工遭受駭客和社交工程手法的攻擊,並且建議增加 對使用者的培訓,以及端點和網路的防禦。 檔案儲存和過度共用 可以輕鬆產生和在裝置與使用者間分享內容的能力, 正是 Web 2.0 應用程式的定義特徵。 表 4-7 主要的檔案儲存和共用應用程式 (% 的組織) 2012 2013 Windows Live Office48% 51% Dropbox 85% 69% Hightail (先前為 YouSendIt)26% 22% SugarSync16% 13% ImageVenue15% 9% Mendeley14% 4% 來源:Check Point Software Technologies
  • 47. 2014 CHECK POINT 年度安全報告 46 2013 年是值得注意的一年,因為攻擊者和研究 人員都瞭解到,檔案儲存和共用應用程式可以當 成滲透組織和外洩機密資料的工具。在 3 月,我 們得知駭客研發了一個使用 Evernote 來支援指 揮與控制 (CC),並和殭屍網路進行外部通訊的 機制。 不久之後,一個研究人員在 4 月就描述了一個 使用 Dropbox 同步功能將惡意軟體散播到組織 內的機制。這個攻擊被稱為 DropSmack51 ,其內 嵌一個副檔名為 .doc 的微指令檔和一個合法標 頭,然後將這個檔案放入目標組織中一個使用者 的 Dropbox 資料夾內。這部電腦是受公司管理 或員工自有都無所謂,當 DropSmack 被安裝到 一個裝置後,Dropbox 的自動同步程序就會將其 複製到該帳戶所有有關裝置的 Dropbox 資料夾 中。DropSmack 讓攻擊者可以繞過邊界,甚至 躲過最接近裝置層級的滲透、CC、橫向移動和 外洩防禦。 Dropbox 的新增安全功能 (如加密和雙因素驗證) 希望可以解決安全管理人員的顧慮,但是如同 DropSmack 所示,這些應用程式仍然有極大可 能會分享惡意軟體。如果想在企業環境中允許使 用,則必須加以緊密監控。 DROPBOX 大為流行 在 2013 年,這些風險仍然存在,並因社交媒體而日 益加重,因為社交媒體已經成為駭客規劃和發動目標 式攻擊的必要工具。 當攻擊者鎖定組織和組織內有權限存取特定資料的個 人時,攻擊者會為每一個目標員工建立一個社交媒體 設定檔 (表 4-8)。這個設定檔會告訴攻擊者重要的資 訊,如這些員工經常使用的網站和線上購物服務、朋 友名單,以及他們預期會收到電子郵件或引起注意的 其他對象。藉由這個資訊,攻擊者可以建立一個一切 看似正常的魚叉型網路釣魚電子郵件並寄給被鎖定的 員工,這種作法成功率很高。我們只要翻閱前面第三 章的研究結果就能得知這種製作設定檔的效果。 在我們 2013 年的研究中,分析企業環境的頻寬使用 狀況,可以發現在社交媒體應用程式中,Facebook 仍 然是最受歡迎的一種 (表 4-9)。 • Twitter 和 LinkedIn 再次高居社交媒體應用程式前 三名,但和 2012 年相比,整體出現率已經下降。 原因有可能是員工減少使用工作電腦,轉而使用 行動和無線資料連線來存取企業網路的緣故。雖 然這種轉變可能對減緩企業網路的壓力,並且減 少公司電腦立即遭遇惡意軟體的可能性,但是廣 為使用如 Dropbox 等檔案儲存和共用應用程式, 代表使用者個人 Macbook 或平板電腦的感染會容 易地進入公司系統 (參見〈Dropbox 大為流行〉)。 社交媒體設定檔 目標:貴公司 使用者:John Q Employee 多個 其他格式 化的簡訊 輸入 社交媒體設定檔 表 4-8
  • 48. 2014 CHECK POINT 年度安全報告 04 毀滅的欲望:企業中的高風險應用程式 47 建議事項 所有類型的高風險應用程式都持續對企業造成威脅, 即使是終端使用者偏好的特定工具。雖然部分 (特別 是匿名工具和 P2P 網路) 沒有正當的商業用途,並應 該完全刪除,但使用者和 IT 正當需要的遠端管理和檔 案共用與儲存工具卻會帶來更複雜的挑戰。即使是普 遍被接受的社交媒體平台,如 Facebook、LinkedIn 和 YouTube,都可以在社交媒體行銷和內容行銷策略中 發揮重要的作用,也都成為魚叉式網路釣魚攻擊的具 吸引力管道。雖然惡意軟體防護的指導原則是專注於 全方位的偵測、防禦和刪除,但是應用程式需要更細 微的作法。應該包括: 以類別為基礎的應用程式控制—系統管理員必須能阻 擋被選擇應用程式的所有系列,而非只是逐一啟用阻 擋功能。這不僅能簡化管理工作,當員工因為應用程 式被阻擋或限制必須採用新應用程式時,還能啟用政 策控制。 公司認可應用程式的標準化—組織需要支援 IT 或業 務功能的遠端管理工具應該制定統一標準為單一應用 程式,然後監控企業網路上是否出現其他遠端管理工 具。如果阻擋不可行,則發現其他遠端管理工具存在 時應該發出通知並啟動調查程序,以確定誰在使用它 們,以及如何使用,並且確認這些工具是否符合政策 或策略性的例外作法而應該納入政策中。此外,監控 和實施的責任應該歸到特定的授權使用者或使用者群 組,以便確認只有那些員工可以使用它們的業務需 求。類似的方法可以用於檔案儲存和共用工具;IT 部 門應該實作一個安全、企業級的服務或解決方案來滿 足這一個需求。否則,使用者將不可避免地會朝向影 子 IT 的應用程式,以便進行工作需要的檔案共用和跨 裝置同步功能。 終端使用者培訓—有鑑於完全阻擋某些類型的應用程 式不切實際或不受歡迎,IT 和安全管理人員應該制定 全方位且持續性的方案,向終端使用者告知高風險應 用程式所帶來的風險。員工需要了解不同類型的應用 程式所造成的特定風險;如何避免魚叉式網路釣魚、 違反版權和其他威脅;以及他們可以如何經由更安 全、IT 部門許可的工具和實務來解決正當的業務和生 產力需求。 讓組織遭受風險的原因不一定就是惡意軟體或不當使 用應用程式。雖然惡意軟體必須為許多資料外洩事件 負責,但原因也經常只是一個簡單的人為疏失。下一 章我們將探討 2013 年主要的資料外洩事件和趨勢。 主要的社交網路頻寬使用情形 (% 的組織) 表 4-9 9% Flickr 8% Pinterest 10% LinkedIn 11% Twitter Facebook 47% 來源:Check Point Software Technologies
  • 49. 2014 CHECK POINT 年度安全報告 48
  • 50. 49 2014 CHECK POINT 年度安全報告 資料遺失防禦: 大舉復出 05
  • 51. 2014 CHECK POINT 年度安全報告 50
  • 52. 51 2014 CHECK POINT 年度安全報告 05 在 2013 年,88% 的組織 至少發生過一次可能的資料外洩事件 件者,或將正確的檔案寄給錯誤的收件者,又或只是 將沒有受到保護的筆記型電腦放在錯誤的地方。在許 多去年發生的外洩事件中,員工的人為疏失是一個關 鍵。無論原因是有意或無意,但結果可能都相同:機 密資料外洩暴露在風險中、憤怒的客戶、商譽受損、 因為違規招致罰款,以及嚴重的業務中斷等。 2013 年資料外洩事件獲得新的關注,因為如 Adobe Systems、Target、Neiman Marcus 和其他高知名度的 組織都發生嚴重的資料外洩,對數以百萬計的消費者 造成影響。 資料長久以來都是駭客的主要目標,包含金融資訊、 智慧財產、內部業務資訊和驗證的憑證等。現在,資 料落入壞人手中的管道遠比以往更多,因為行動裝置 和影子 IT 應用程式都是新的攻擊管道,並且提升資料 遺失或外洩的風險。物聯網的出現使得這個情況更為 惡化,因為裝置會直接彼此通訊,交換如家庭能源消 耗、汽車位置和狀態、包裹追蹤、個人醫療等資訊。 隨著資訊經由更多方式傳送,也越來越難控制和確保 安全。 駭客並不只是企業資料唯一的威脅。許多外洩都是不 慎發生的。使用者可能會將錯誤的檔案寄給正確的收 資料遺失防禦: 大舉復出 身分證號碼、銀行帳戶和信用卡 號碼不只是資料。如果落入他人之手, 竊賊可以偷光某人一生的積蓄、破壞 他的信用並導致破產。 Melissa Bean52
  • 53. 2014 CHECK POINT 年度安全報告 52 Check Point 研究發現被分析的公司中有 88% 至少發 生過一次可能的資料外洩事件,代表一些機密資料被 經由電子郵件或上傳到網頁瀏覽器而傳出組織之外。 這個數據比我們 2012 年觀察到的 54% 還高,顯示出 組織仍在努力掙扎,保護機密資料不會被蓄意或不慎 外洩。 零售業可能是 2013 年最容易發生資料外洩的產業,但 根據 Check Point 研究,所有產業的組織對機密資料都 逐漸失去控制能力,而且速度比 2012 年的情形更快 ( 表 5-1)。 小型組織很容易認為自己太小,不需要擔心資料外 洩,但事實並非如此 (附圖:以為您沒有資料外洩的風 險嗎?再想想…)。史上規模最大的一次資料外洩事件 是 Heartland Payments57 的外洩事件。這是一家擁有 700 名員工的公司,竊賊偷走信用卡和金融卡背面磁 條上編碼的數位資訊。每一個位於資訊供應鏈上的組 織都有被攻擊的風險,即使是一個相對較小的竊取行 為也能為駭客產生高價值的結果。 許多組織繼續忽視實施健全的資料防護政策和控 制措施的重要性,因為它們認為自己並沒有資料 外洩的風險。痛苦的現實是,駭客的目標不僅是 大型銀行和零售商,而是所有擁有機密資料的組 織。只要一封錯誤的電子郵件或遺失一部筆記型 電腦,就會造成資料外洩。此處提供 2013 年的 少數幾個範例: 美國佛羅里達州衛生署,因為有員工將資料傳給 親屬以便申報假所得稅,導致 3,500 名病患的個 人資料被竊,包含他們的社會安全號碼53 。 伊斯靈頓 (倫敦) 理事會內部不慎將一份包含 2,375 位居民個人資訊 (包含醫療紀錄) 的試算表發布在 一個房屋仲介的公開網站54 ,遭到罰款 70,000 英 鎊。 Rotech Healthcare 發生多達 3,500 名員工的個 人和健康資訊不慎外洩的事件,因為一個前人力 資源部員工被允許在離職時保留自己的個人電腦 55 。 英國資訊委員會辦公室發現安格爾西 (威爾斯) 議 會發生超過 60 起違反資料保護法的事件,都是 不當存取居民的個人資料,包含不慎公布在公開 網站或電子郵件中56 。 以為您沒有資料外洩的風險嗎? 再想想看… 一個組織每天 會發生 29 次機密資料 可能外洩的事件
  • 54. 2014 CHECK POINT 年度安全報告 05 資料遺失事件:大舉復出 53 表 5-1 2013 2012 組織發生至少一次可能資料外洩事件的比 例―依產業 (% 的組織) 電信 政府 金融 工業 45% 79% 70% 87% 61% 88% 50% 88% 按產業,最引人注意的是工業和顧問產業。這些增加 的情形和 2013 年受到攻擊的資料類型很有關係。(表 5-2) 我們的研究發現,原始程式碼是 2013 年最經常 被傳送到組織之外的資料類型,幾乎比 2012 年增加 50%。 原始程式碼、業務資料紀錄和其他交易機密代表了大 多數美國公司的資產,而且它們不斷遭到攻擊。單是 經濟間諜行為,估計每年就造成美國企業 2500 億到 5000 億美元的損失。雖然銀行和健康照護公司長久以 來都面對外部法規要求保護客戶和病患資料的壓力, 但製造、能源基礎建設、物流、挖掘工業和甚至娛樂 業等都沒有主動採取行動來保護資料安全。這些組織 正逐漸成為大量客製化惡意軟體和目標型攻擊的活動 的主要目標。 法規應運而生 2013 年除了發生的多起嚴重信用卡資料外洩事件外, Check Point 研究發現金融機構 PCI 資料外洩事件 的出現率小幅下滑至 33%,相較於 2012 年的 36。 我們的研究也涵蓋了健康照護和保險機構,發現和 HIPAA 法規相關的事件由 2012 年的 16% 上升到 2013 年的 25%。 換言之,每 49 分鐘就有機密資料備傳送到組織外。一 個組織每天會發生 29 件可能資料外洩的事件。這個資 料外洩比例對任何產業的任何組織來說都很嚴重,並 且顯示出需要對機密資料採取更積極的控制手段。 來源:Check Point Software Technologies 每 49 分鐘就有機密資料 被傳送到組織外
  • 55. 2014 CHECK POINT 年度安全報告 05 資料遺失事件:大舉復出 54 2013 saw the publication of Payment Card Industry 員工外洩資料到組織之外 (% 的組織) 35% 銀行帳戶號碼 4% 機密 Outlook 郵件 5% 網路資訊 14% 用密碼保護的檔案 10% 薪資資訊 14% 3% 7% 21% 敏感個人 資訊 信用卡資料 29% 29% 13% 14% 24% 原始程式碼 6% 業務資料紀錄 2012 2013 21% 表 5-2 來源:Check Point Software Technologies 在被監測的金融機構中,有 33% 將 信用卡資料傳送到組織外
  • 56. 2014 CHECK POINT 年度安全報告 05 資料遺失事件:大舉復出 55 2013 年我們看到支付卡產業資料安全標準 3.0 (PCI- DSS 3.0)58 發布,其中包含許多―且及時―的新要求: • 對非終端使用者系統的安全實務,如銷售點 (POS) 和其他終端機等。 • 增加使用者培訓,使其瞭解可能的攻擊 (網路釣 魚、USB 等),以及處理機密資料的責任。 • 對區分持卡者資料和其他網路部分的控制和防護 措施進行壓力測試。 • 服務提供者用來進行遠端存取使用者環境的憑證 必須遵循 PCI-DSS。 總體而言,修訂後的 DSS 要求強調「教育、警覺性和 安全是共同的責任」。3.0 版標準在 2014 年 1 月 1 日 生效,2013 年的事件確實為這些新要求的出現帶來壓 迫感。 展望 2014 年,組織將會制定新的法規和資料防護規 範和要求,以便滿足包含 PCI-DSS 3.0 在內的新增需 求,將防護擴展到 POS 系統,並且增加對使用者的教 育。 在歐洲,歐盟新的資料隱私法規―通用資料保護條例 (GDPR)59 同樣在 2014 年生效,更為嚴格地要求必須 保護各國內部和國際與歐盟之間的居民和客戶資料。 組織將被要求繼續發展其安全政策和實務作法,以符 合新的法規要求,或是面對巨額罰鍰的風險。 建議事項 2013 一整年的大型、高度關注的資料外洩事件―影響 一些世界上最知名的品牌以及許多規模較小的組織― 顯示我們在保護個人和企業資訊方面還有許多地方值 得努力。隨著行動性和物聯網的出現,這項挑戰只會 繼續變大,因為資料會被用新方法竊取或不慎外洩。 人為疏失在許多資料外洩事件中都扮演著關鍵角色。 我們需要一個真正全方位、整體的方法,以確保資料 不會暴露在風險中或是容易被竊。 在今日資料外洩情形不斷增加的情況中,組織必須採 取動作來保護機密資料。避免資料不慎外洩的最好方 式,就是實作一個自動化的企業政策,在資料離開組 織前就加以攔截。最好可以使用一個資料遺失防禦 (DLP) 解決方案實施這些政策。內容感知型 DLP 產品 擁有許多功能,並提供組織許多部署選項。 在部署 DLP 解決方案以前,組織需要根據清楚的考 量條件制定一個明確的 DLP 策略,如:什麼是機密 資訊?誰可以傳送它?可以在哪些地點使用哪些裝置 類型?如何使用?透過這個準備好的政策架構,您可 以最佳化實作和設定解決方案,以支援組織獨特的業 務、安全和使用者生產力需求。如需有效的資料遺失 防禦,您的解決方案應該包含以下標準和功能。
  • 57. 2014 CHECK POINT 年度安全報告 56 使用者導向的外洩事件修補—傳統 DLP 解決方案可 以偵測、分類,甚至是識別特定的文件和多種檔案類 型,但是它們無法掌握使用者共用這些機密資訊的意 圖。單用技術是不夠的,因為技術無法看出這個意圖 並做出因應。因此,優質的 DLP 解決方案必須和使用 者互動,已獲得最佳效果。作法之一就是讓使用者可 以即時修補外洩事件。換言之,DLP 解決方案應該通 知使用者,他/她的動作可能導致資料外洩,然後讓使 用者可以決定是否丟棄這封郵件或繼續傳送。這種方 法可以提升資料儲存政策的感知能力,並即時警示使 用者可能的錯誤,還能允許快速自我授權合法通訊, 可以改善安全性。結果,安全管理工作可以簡化,因 為系統管理員可以追蹤 DLP 事件來進行分析,而無須 逐一管理每一次資料外傳的要求。 資料分類—準確識別機密資料是 DLP 解決方案的一 個關鍵功能。DLP 解決方案必須可以偵測個人可識 別資訊 (PII)、合規性相關資料 (如 HIPAA、SOX、PCI 資料等),以及機密的公司資料,包含一般常用和 自行定義的資料類型。當資料在組織中移動和進 出時,此解決方案應該能檢測內容流量,並且對最 經常被使用的各種 TCP 通訊協定實施政策,包含 SMTP、FTP、HTTP、HTTPS 和 webmail,使用模式 比對和檔案分類找出內容類型,無論其副檔名和壓縮 格式為何。DLP 解決方案必須能根據預先定義的範本 和檔案/表單比對資訊,識別和保護機密的資料。 在 2013 年末期的大規模信用卡資料外洩事件, 使得 PCI-DSS 是否就是代表安全的爭議再起, 特別是通過「符合 PCI」認證的公司是否真正安 全而不會遭駭。 部分人士認為 PCI 合規性認證在零售商和社會大 眾間造成了一種安全的假象。合乎規範的公司發 生資料外洩以及追溯撤銷 PCI 合規性的動作遭到 嘲笑,而不斷演變的標準在意義上成為一個移動 的目標。 在面對這些問題時,PCI 組織和從業人員正確指 出,符合 PCI 規範的公司如 Target,完全採行理 想的安全程序,但還是遭遇資料外洩,點出一個 核心問題,即安全必須經常演練:也就是,不要 把它當成一個產品,而是一個過程。 PCI 安全標準委員會主席 Bob Russo 先前在 Computerworld 上發表“今日合乎規範不代表明 日亦然"(You can be in compliance today and totally out of compliance tomorrow) 一文時,強 調 PCI 合規性認證是一個「時間點的快照」。 在和一般作法之間評估和比較安全態勢時,標準 是很重要的工具。合規性認證的危險之處,在於 組織認為取得認證後它們就已經「做完」安全防 護,而沒有在環境和資料實務作法改變時不斷重 新評估和採用最新標準。 PCI 合規性是否產生 安全的錯覺?
  • 58. 2014 CHECK POINT 年度安全報告 05 資料遺失事件:大舉復出 57 對卸除式媒體的資料防護—員工通常會將個人檔案 (如 音樂、照片和文件) 與公司檔案 (如財務或人力資源檔 案) 混合儲存在 USB 儲存裝置或其他卸除式媒體中。 這使得企業資料非常難以管制。透過加密卸除式儲存 和防止未經授權者使用裝置,您可以大幅降低裝置遺 失或遭竊後發生外洩事件的可能性。 文件保護—檔案儲存和共用應用程式會定期上傳公司 文件到網頁、傳送到個人智慧型手機、複製到卸除式 媒體裝置,以及分享給外部商業合作夥伴。每一種動 作都會讓機密資料處於遺失或不當使用的風險。為了 保護公司資料,安全解決方案必須可以實施文件加密 政策,並只授權特定個人可以存取。 防範內部資料外洩—另一個 DLP 的重要能力,就是不 僅可以管制機密資料離開公司,還能檢測和控制在公 司部門內傳送的機密電子郵件。可以制定政策來避免 機密資料不慎外洩到其他部門―例如津貼計劃、機密 人力資源文件、收購和合併文件或醫療紀錄等。 對端點硬碟的資料防護—公司必須將保護筆記型電腦 資料當成全方位安全政策的一環,以避免外部人員經 由遺失或被竊的電腦取得重要資訊。您可以對端點硬 碟加密,包含使用者資料、作業系統檔案和暫存及已 經刪除的檔案等,以防止沒有權限的使用者取得資 訊。 在被檢視的健康照護和保險機構中,25% 將受到 HIPAA 管制的健康資訊傳送到組織外
  • 59. 2014 CHECK POINT 年度安全報告 58 藉此,安全管理員可以取得明確和宏觀的觀點,瞭解 被傳出的資訊和其來源,而且為組織提供即時回應的 能力。 下一章將介紹今日有效安全性的全方位高階藍圖。 雖然從技術上而言,入侵銷售點 (POS) 終端機 來竊取信用卡資料是可行的,但駭客很多年前就 發現儲存這個資料的伺服器是更容易得手的目 標。隨著儲存信用卡和客戶資料的伺服器安全性 不斷提高,迫使駭客再次將目光轉向資料的來 源,2013 年就是一個開始攻擊 POS 的分水嶺。 由於零售商資料外洩的範圍和規模都非常驚人, 因此這類惡意軟體的多樣性也引起安全專業人員 的注意。 POS 惡意軟體有多種類型,從會損毀記憶體的一 般型 ChewBacca 和 Dexter61 ,到複雜的 Black- POS62 ,甚至是高度鎖定 Neiman Marcus63 的 POS 惡意軟體等。然而,它們都有一些相同的特 徵,攻擊者會利用這些特性來滲透 POS 系統並 竊取大量信用卡資料: • 針對 POS 系統作業系統過時的情形,有時 即使修補程式出現了幾個月,系統還是沒有 被修補 • 透過目標零售商被感染的用戶端或伺服器進 入 POS 系統 • 能夠躲避應用程式控制和其他系統鎖定機 制,例如經由感染一部更新伺服器 • 使用加密、一般通訊協定和正常網路流量模 式來隱藏資料已經外洩的情形 • 在許多網路上,直接透過網際網路存取 POS 裝置本身,通常這也是實際進行付款的方式 個別解決這些問題並無法改善這個情況,因為根 本原因並沒有解決:POS 和實際運作網路之間 沒有區隔或區隔不善。零售商網路顯示開發和 實作區段化策略最佳實務作法的重要性,藉此組 織可以對受駭主機實施遏阻政策,並且定義區 段內可以自動實施的互動行為。例如,監控包含 POS 裝置的區段間流量的方向和類型,將可限 制惡意軟體散播和外洩資料的可能性。從這方面 看,零售商會發現在自己成為這項轉變的先鋒, 因為所有組織都會在自己的 IT 環境中定義和實 作邏輯性的區段化,以及以政策為導向的實施作 業。 從銷售點攻擊學到的經驗 事件管理—除了定義 DLP 規則以符合組織的資料使用 政策,以及支援和實施實作的技術外,完整的資料外 洩防禦策略還必須包含健全的監控和報告產生能力。 您的安全解決方案應該具備監聽能力,以及可以分析 即時和歷史的 DLP 事件。
  • 60. 59 2014 CHECK POINT 年度安全報告 預防未來威脅 的安全架構: 軟體定義防護 06
  • 61. 2014 CHECK POINT 年度安全報告 60
  • 62. 06 但是面對不斷演變的威脅態勢不僅對 IT 環境造成挑 戰。今日企業正逐漸朝向資訊流通自由化的方向前 進,使得企業網路不再有明確的邊界。企業資料會流 經雲和行動裝置,以及經由社交網路的創意和貼文向 各方伸展。BYOD (自帶設備上班)、行動性和雲運算已 經改變了靜態的 IT 環境,造就出動態網路和基礎結構 的需求。 在複雜的 IT 基礎架構和網路環境中,邊界的定義不再 明確,而且威脅也日趨複雜,我們需要定義正確的方 式來保護企業。 今日,單點安全產品如雨後春筍般出現,但是這些產 品的本質大多是被動反應,並非一開始就從架構上量 身設計。今日企業需要的是一個可整合高效能網路安 全裝置和即時主動式防護的統一式架構。 若要主動保護組織,我們需要一個新的典範。 在《Check Point 2014 安全報告》中,我們闡述了深 入分析 2013 年安全威脅的結果和趨勢。這份報告可 協助安全和業務決策者瞭解組織面對的威脅,以及思 考保護 IT 環境所需的新動作。 研究成果的重點如下: • 由於惡意軟體 “大量客製化" 的趨勢,使用未知 惡意軟體的情形激增。 • 惡意軟體出現和感染的情形全部增加了,顯示出 目標式惡意軟體攻擊成功率提高。 • 每一類高風險應用程式在全球企業的出現率都增 加了。 • 跨產業和資料類型的資料外洩事件增加了。 面對挑戰 這份報告的研究成果明確指出威脅態勢持續演變,並 且許多組織採用的策略和技術已經無法跟上更為複雜 和有害的攻擊。未知惡意軟體激增的情形很快就導致 只能偵測的解決方案必須淘汰。已知惡意軟體完全壓 垮現有的防禦,並且攻擊範圍遍及更多種平台。高風 險應用程式和 Web 2.0、檔案儲存和共用,以及有正 當業務用途的遠端管理工具一樣,數量持續增加,並 隨之帶來新的威脅管道。惡意和不慎發生的資料外洩 事件對所有領域的各種組織都會造成難以承擔的損 害,而行動性、消費化和物聯網的出現則使得情況更 為惡化,組織必須更有效地控制流量和資訊的使用。 預防未來威脅的安全架構: 軟體定義防護 若要主動保護組織, 我們需要一個新的典範 2014 CHECK POINT 年度安全報告 61
  • 63. C o n tro l La y e r En fo rc e m e n t La y e r M a n a g e m e n t La y e r M o d u la rity V isib ility A u to m a tio n Th re a t Pre ve n tio n Threat Intelligence Security Policy A c c e ss C o n tro l D a ta Pro te c tio n Enforcement Point Enforcement Point Enforcement Point Enforcement Point Protection Protection 在組織內實作安全藍圖 SDP 的主要優點之一,就是提供了一個簡單的安全藍 圖實作方法。《Check Point 軟體定義防護企業安全藍 圖》中詳細說明了 SDP 的架構、優點和一個明確的實 作方法。您可以免費由此下載 checkpoint.com/sdp。 以下篇幅從上層開始,逐層說明 SDP 能如何整合到組 織中,以防範本報告中出現的威脅。 實施層 我們從實施層開始。這一層是為了可靠、快速和簡單 所設計,包含扮演企業網路實施點的網路閘道和主機 型軟體。實施點可以是雲端中的網路安全閘道、主機 軟體、行動裝置應用程式或虛擬機器。 軟體定義防護的安全架構 為了符合今日防範不斷進化的安全威脅,同時支援 複雜的 IT 基礎架構,Check Point 發表了軟體定義防 護 (Software Defined Protection)64 。這是一個全新且實 用的安全架構和方法,提供一個基礎結構,具備模組 化、機動力,以及最重要的「安全性」。 透過實作軟體定義防護架構,任何位置的所有組織都 可以受到保護:總部網路、分部辦公室、漫遊的智慧 型手機和行動裝置,甚至是使用雲環境時。 根據軟體定義防護架構,防護措施應該能自動適應威 脅情勢,而不需要安全管理員逐一訪查數以千計的通 告和建議事項。這些防護措施必須無縫整併到更大的 IT 環境,而由架構提供一個可以結合內部和外部情報 來源的防護態勢。 軟體定義防護 (SDP) 架構將安全結構劃分成三個互相 通連的層: • 實施層 (Enforcement Layer) 以實體與虛擬安全 實施點為基礎,可分隔網路,並在要求嚴格的環 境中執行防護措施。 • 控制層 (Control Layer) 可分析不同的威脅資訊 來源,並產生由實施層執行的防護作為與政策。 • 管理層 (Management Layer) 會統合基礎結構, 並且為整體架構帶來最高等級的靈活性。 藉由結合高效能的實施層和快速進化且動態的軟體式 控制層,SDP 架構不只能提供營運的彈性,還可提供 主動事件防禦能力,因應瞬息萬變的威脅情勢。 軟體定義防護層 2014 CHECK POINT 年度安全報告 06 預防未來威脅的安全架構 62
  • 64. 應該將這些實施點部署在網路的什麼位置?在簡單的 網路中,我們可以只在邊界實施這些防護措施。但是 當邊界沒有明確定義時,應該如何部署實施點? 答案是區段化。這是新的邊界。藉由將複雜的環境依 據安全設定劃分為較小的區段,就可以在每個區段邊 界部署實施點,確保環境安全。 控制層 下一個 SDP 架構的要件是控制層。這是防護措施產生 的地方,並且會將安全政策推入到實施點。透過使用 存取控制和資料防護政策,系統管理員可以定義規則 型的政策,以控制介於使用者、資產、資料和應用程 式間的互動。基本上這就是防火牆和次世代防火牆。 這裡也是定義政策的地方,以管制存取高風險應用程 式 (如第 4 章所述) 的行為,如匿名工具、P2P 檔案共 用、檔案儲存,甚至是遠端管理應用程式。這些政策 也會控制移動中和保存中的資料流量,並且防範如第 5 章中描述的資料外洩情形。 只有存取控制和資料防護政策還不夠,我們還需要協 助組織防範惡意份子和不斷進化的威脅。為了達成這 個目標,我們必須實作可以識別已知和未知攻擊 (如第 2 章和第 3 章中所述) 的防護措施。 解決方法就是威脅防禦 (Threat Prevention),控制層的 第二個功能。在這裡,威脅防護措施會被即時更新, 並且由實施點自動進行防護,因此不需要在這裡定義 任何特定政策,只要啟用威脅防禦機制即可。 威脅防禦有效的關鍵就是情報。威脅情報應該盡可能 取自越多來源,然後處理並轉譯成新的安全防護措 施,然後即時饋入到所有實施點。 管理層 第三層是管理層,也是讓 SDP 架構發揮效果,以及 管理整體架構的關鍵。管理層有三個主要特性:模組 性、自動化和可見性。 模組化讓一個分層式政策可以劃分管理責任,達成最 好的管理彈性。自動化和開放性允許第三方系統可以 即時政策和防護措施。最後,可見性是由所有實施點 收集安全資訊的能力,能提供組織目前安全狀態的整 體觀點。 軟體定義防護提供了模組化和動態的基礎架構,可以 快速適應不斷進化的威脅和 IT 環境。 2014 CHECK POINT 年度安全報告 06 預防未來威脅的安全架構 63
  • 65. 2014 CHECK POINT 年度安全報告 64
  • 66. 關於 CHECK POINT SOFTWARE TECHNOLOGIES 07 2014 CHECK POINT 年度安全報告 65
  • 67. 2014 CHECK POINT 年度安全報告 66
  • 68. 關於 CHECK POINT SOFTWARE TECHNOLOGIES07 Check Point 提供一系列的實施點,包括:高效能的網 路安全設備、虛擬閘道,以及端點主機軟體和行動裝 置應用程式。其可以被部署在企業網路或雲端。 在控制層方面,Check Point 擁有市場上最先進的次世 代防火牆,而我們的 ThreatCloud 是最大的開放型巨 量資料即時威脅知識庫,能即時將情報饋入我們的實 施點。 最終,Check Point 架構可以由一個統一安全主控台進 行管理,其為模組化、高擴展性,並具備第三方系統 的開放性。 Check Point 提供組織今日防範未來威脅所需的安全架 構。 如需更多資訊,請造訪:www.checkpoint.com/sdp。 Check Point 將這些安全的整體作法和其創新的技術解 決方案結合,以解決今日的威脅挑戰,並重新定義可 以推動業務的安全性。 過去二十年來,Check Point Software 不斷提供創新的 企業級安全解決方案和最佳實施作法,始終被分析師 認可為網路安全的市場領導者。Check Point 的客戶包 含全球 10 萬個各種規模的組織,包含《財富》雜誌美 國 100 大企業 (Fortune 100) 和全球 100 大企業 (Global 100) 的所有公司。 二十年來,Check Point 的使命始終是保護網際網路。 從研發防火牆到領導當今的網路安全產業,Check Point 專注於研發保護企業隨著網際網路演進所需的技 術。 今日的網際網路不僅是企業的合法平台,也是網路犯 罪份子的溫床。針對這個環境,Check Point 發展了一 個架構,可以部署多層式威脅防禦,為包含零時差攻 擊等所有威脅提供最大防護。 Check Point SDP Check Point 定義並致力於推動軟體定義防護,提供對 抗新威脅和擁抱新技術所需的彈性。 Check Point SDP 2014 CHECK POINT 年度安全報告 67
  • 69. 參考資料 1 Stoll, Cliff. (2005). The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. New York, NY: Pocket Books. 2 http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/ 3 http://www.entrepreneur.com/article/231886 4 http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997 5 http://www.checkpoint.com/campaigns/securitycheckup/index.html 6 http://www.checkpoint.com/products/threat-emulation/ 7 http://www.checkpoint.com/threatcloud-central/index.html 8 https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileActioneventSubmit_ doGetdcdetails=fileid=20602 9 https://www.checkpoint.com/products/softwareblades/architecture/ 10 http://www.checkpoint.com/products/index.html#gateways 11 Huxley, Thomas Henry (1887). On the Reception of the Origin of Species, http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm 12 http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf 13 http://usa.kaspersky.com/ 14 http://msdn.microsoft.com/en-us/magazine/cc164055.aspx 15 http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon 16 http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html 17 http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/ 18 http://support.microsoft.com/kb/2664258 19 http://www.pcmag.com/article2/0,2817,2370016,00.asp 20 https://www.virustotal.com/ 21 http://www.av-test.org/en/home/ 22 http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf 23 http://contextis.com/research/blog/malware-analysis-dark-comet-rat/ 24 http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html 25 http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/ 26 Mariotti, John. (2010). The Chinese Conspiracy. Bloomington, IN: iUniverse.com 27 http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-reportgclid=CIfK-JuOhrwCFZFxQgodsBYA_w 28 https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html 29 Anderson, Chris. (2006). The Long Tail: Why the Future of Business is Selling Less of More. New York, NY: Hyperion. 30 http://www.fbi.gov/about-us/history/famous-cases/willie-sutton 31 http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE 32 http://searchsoa.techtarget.com/definition/Remote-Procedure-Call 68
  • 70. 參考資料 (接續) 33 https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html 34 http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html 35 http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html 36 http://www.apwg.org/ 37 http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html 38 http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf 39 http://newgtlds.icann.org/en/program-status/delegated-strings 40 Stephenson, Neal. (2002). Cryptonomicon. New York, NY: Avon. 41 Orwell, George. (1956). Animal Farm. New York, NY: Signet Books. 42 https://www.torproject.org/ 43 http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html 44 http://www.huffingtonpost.com/tag/silk-road-arrest 45 http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html 46 http://www.britannica.com/EBchecked/topic/278114/Hydra 47 http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx 48 http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers 49 http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html 50 http://www.emea.symantec.com/web/ShadowIT-enduser/ 51 http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-files-and-deliver-malware/ 52 http://vote-il.org/politicianissue.aspx?state=ilid=ilbeanmelissaissue=buscrime 53 http://www.scmagazine.com/florida-health-department-employees-stole-data-committed-tax-fraud/article/318843/ 54 http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fine_1_2369477 55 http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/ 56 http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fire-over-6330304 57 http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770 58 https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf 59 http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm 60 http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says 61 http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say 62 http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216 63 http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data 64 http://www.checkpoint.com/sdp 69
  • 71. 70
  • 72. 71
  • 73. 全球總部 5 HA´SOLELIM STREET, TEL AVIV 67897, ISRAEL 電話:972-3-753-4555 | 傳真:972-3-624-1100 電子郵件:INFO@CHECKPOINT.COM 臺灣辦公室 台北市信義區信義路 4 段 6 號 6 樓 電話:02-2703-2798 | 傳真:02-2703-6007 www.checkpoint.com ©2014 Check Point Software Technologies Ltd. [保護級] – 保留所有權利。.

×