回頁首

你還不知道的 ATP 與 APT

惡意軟體肆虐全台
做好郵件防護提前攔截及消除威脅

「收件夾出現高階主管的來信或工作文件附檔,多少使用者能通過考驗、不點不開?」

— 企業郵件專家 Tom Charng

惡意軟體肆虐全台

不點選來路不明的網址連結、不開啟電子郵件裡可疑的附加檔案,到處都可以看到類似的資安教戰守則,但每天接收數十封或上百封郵件的使用者們真的做出正確判斷了嗎?

在微軟半年發佈一次的安全智慧報告(Security Intelligence Report)裡,台灣面臨的資安威脅超乎想像,高達 30% 至 40% 的電腦都曾面臨惡意軟體試圖或成功感染,在全球名列嚴重地區,尤其是令人聞之色變的勒索軟體,台灣受害率位居全球第三,僅次於義大利及保加利亞。

來路不明或可疑都是形容詞,使用者只能憑感覺而無法憑標準做判斷,像是 APT 進階持續性滲透攻擊幾乎都是鎖定入侵,一旦冒名高階主管的電子郵件或類似工作文件的附檔出現在收件匣,到底有多少使用者能通過考驗,做到不點不開?

提前攔截及消除威脅

微軟提出最能釜底抽薪的作法,就是提前攔截這些來路不明或可疑的郵件,在它們抵達甚至進入公司的防火牆之前就消除威脅。Office 365 的 Exchange Online Protection(EOP)的進階威脅防護 (ATP) 服務橫跨雲與地確保郵件安全,不但保護 Office 365 的所有郵件帳戶,只需簡單的郵件路由設定,就能為企業內部各種廠牌的郵件系統多提供一道安全防線。

以惡意連結為例,EOP 的進階威脅防護 (ATP) 服務在掃描郵件內容時會重寫惡意連結的 URL,使用者收信後點選就導向 Office 365 的警示頁面。至於可疑附件,EOP 的進階威脅防護 (ATP)服務則會根據附件特徵做篩選,找出可疑附件進行檢查及評估,寄達使用者信箱之前就先在引爆室進行沙箱化處理。

EOP 與 7 家資安廠商合作,每次隨機選取 3 個不同廠牌的引擎掃描郵件,讓駭客無從得知真正使用的資安工具,再結合微軟本身的信譽名單,攔截惡意連結或程式碼進入企業防火牆之內。然而,未知的惡意軟體層出不窮,如何預防新型態的零時差攻擊,就由更為強大及動態化防禦的 Office 365 進階威脅防護(Advanced Threat Protection;ATP)來因應。

「台灣是全球 APT 攻擊災情最重的國家,應該善用全球級的反恐能量去因應」

— 企業郵件專家 Tom Charng

APT 變變變,資安軟體只能保心安?

台灣時常面臨颱風與地震等天然災害的侵襲,許多人不知道的是,台灣同時也是資安侵擾的重災區,某知名駭客就曾說過:「台灣最大的天然資源就是病毒樣本到處都是。」,美國國家地理空間情報局(NGA)前資安長亦曾表示:「台灣是全球 APT 攻擊災情最重的國家。」

微軟每年定期發佈的台灣版 SIR(Security Intelligence Report)發現,台灣PC安裝資安軟體並保持最新狀態的比例與全球平均相去不遠,但執行微軟即時安全工具的個人電腦所回報的統計數據卻顯示,曾被惡意軟體嘗試或成功感染的比例有增無減,台灣從 2015 年第 3 季的 16.5% 上升到 2016 年第 2 季的 22.3%,高於全球平均的 21.2%。

為何台灣受害的狀況更為嚴重?特殊的政經情勢使台灣成為國家級網軍或駭客的練兵場,遭遇許多全球首見的攻擊或威脅。APT 之所以棘手,正在於大量製造只用一次、前所未見的惡意程式。

傳統資安軟體難以對每封郵件即時清查及排除這些拋棄式的惡意程式,光是抽查就可能大幅影響企業系統效能及使用者工作效率。擁有強大運算資源為後盾的雲端服務則截然不同,Office 365 的進階威脅防護 (ATP) 服務能逐一檢查每個郵件附檔,透過機器學習分析紀錄附件的可疑行為,並以虛擬機器設置沙箱引爆。

此外,ATP 服務的動態傳送功能可先將郵件本文傳給收件者,並在 6 分鐘內後送確認沒有威脅的附檔。就連郵件內文的超連結網址,ATP 服務也會持續每小時更新及確認連結安全性,以因應收件後才切換為惡意網址的新型態攻擊。

在 192 個受測樣本裡,通過協力廠商檢查但被 ATP 服務攔截的惡意程式,每天從數千到數十萬個不等。而在 Office 365 的內部統計,ATP服務透過引爆作法,每月平均攔截多達 1,500 萬封零時攻擊訊息,顯見 ATP 服務是因應未知或全新攻擊的最佳解答。

「面對駭客量身打造的客制化攻擊,何不找個提供賠償條款的公信後盾?」

— 企業郵件專家 Tom Charng

各個擊破 APT 滲透手法

從量身打造的惡意程式、暗藏玄機的可疑網址到真假難辨的附件檔案,APT攻擊以各種手法滲透企業組織,Office 365 的進階威脅防護(ATP)服務可在郵件進入企業及使用者信箱前,運用強大的雲端運算資源進行掃描,並結合沙箱引爆、動態傳送、持續追蹤連結安全性等功能,層層過濾及攔截 ATP 滲透手法。

但在 APT 攻擊裡,還有一項常被使用的手法就是零時差攻擊,也就是利用尚未修補的程式安全漏洞做為破口。Office 365 的 ATP 服務採取的殺手鐗是 ZAP(Zero-hour Auto Purge),透過對層出不窮的惡意程式的持續監測和特徵辨識的即時更新,一旦發現利用零時差攻擊避開資安掃描而進入Exchange Online 信箱的惡意郵件,只要使用者尚未開啟信件,ZAP 功能就可直接將惡意郵件從收件匣移往垃圾郵件匣,將全新未知的攻擊威脅降至最低。

安心保證與全方位對策

面對日新月異、有增無減的APT威脅,傳統的資安防禦機制顯然愈來愈力不從心,結合雲端無上限的運算資源和隨時更新的即戰反應力,已是大勢所趨。

Office 365 的 ATP 服務以更多安心承諾,確保雲端的安全性和服務的公信力,像是載明賠償條款的服務等級合約(SLA),就遙遙領先其他未有類似保證的公有雲服務廠商。

而且,ATP 服務的制式作法就是掃描及轉傳郵件,所有經手郵件都不留存檔或備份,不會有資料外洩之虞;更重要的是,微軟本身並不經營網路廣告業務,因此,ATP 掃描只針對惡意程式或可疑連結,完全不碰觸郵件內文,當然就不會有抓取關鍵字投放網路廣告等衍生的商業行為。

微軟的資安對策是保護、偵測與防禦三位一體的動態循環,從橫跨所有端點的保護方案,到鎖定目標、行為監控、機器學習的偵測行動,再透過防禦措施來縮短發現威脅到採取行動的落差,持續強化企業組織的資安機制,Office 365 的 ATP 服務正是最佳例證。

「不只是前端的攻防,後台的較勁才是門道」

— 企業郵件專家 Tom Charng

廣佈全球的資安感測器

「台上一分鐘,台下十年功」,對於 APT 的防制也是如此。要在無數個關鍵瞬間做出正確判斷,將惡意威脅阻絕在門外,光靠前端的工具把關是不夠的,後台的支援網必須全面到位。

Office 365 的 ATP 服務背後,不但由各有所長的微軟內部團隊發揮專業,還有來自外部的合作力量,包括政府單位、網路服務供應商、企業組織等。微軟產品在 PC 的高安裝率更成了全球最龐大的資安感測網,隨時回報第一手的事件及相關訊息。

對外合作的微軟數位犯罪防治中心(Digital Crime Unit;DCU)就運用許多先進技術如大數據來協助各國政府提升網路安全、對抗犯罪行為,像是與美國國土安全部下轄的電腦緊急應變中心(United States Computer Emergency Readiness Team;US-CERT)合作,協助處理民眾回報的網路資安問題。

因地制宜掌握威脅和痛點

此外,微軟的網路威脅情報計畫(Cyber Threat Intelligence Program;CTIP)連接全球 6 千萬個 IP 位址,每天處理超過 5 億筆交易,像是傳送至 DCU 的中毒封包經過拆解分析及統計,並結合機器學習等先進技術,就成為微軟強化保護資料中心及雲端服務的重要依據。

這些情報不僅即時分享給合作夥伴如 US-CERT、網路服務供應商及資安廠商,還會定期公開,包括每半年發佈一次的全球性安全情報報告(Security Intelligence Report),以及每年一次針對超過一百個國家提供的當地安全情報報告,台灣也是其中之一。換言之,微軟掌握的資安情報兼具廣度和深度,可能比當地政府或企業更瞭解現正面臨的資安威脅及態勢變化。

微軟是也業界唯一以四支技術團隊完整涵蓋 IT 平台的資安守護者,包括 Windows、虛擬化、雲端及 ATP 團隊,能以最快速度將情報轉化為行動。值得一提的是,目前專攻電子郵件應用的 Office 365 的 ATP 服務,未來將逐步擴及協作應用 SharePoint 及雲端儲存空間 OneDrive,讓資安防護更面面俱到。

「想把錢花在刀口上,就先不傷感情地鎖好高階主管的資安缺口!」

— 企業郵件專家 Tom Charng

重點式部署的 VIP 防護

在企業組織裡,因為工作職掌及系統授權等級的不同,所背負的安全風險也有高低之分。主要透過電子郵件刺探及滲入的 APT 威脅,看似是無差別攻擊,但也有不少實例是專門針對特定對象持續發動攻勢,傳統資安解決方案對所有使用者採取一視同仁的防禦等級,反而導致百密一疏的狀況。

辨識出高曝險使用者如高階主管,並主動提供更嚴密的防護措施,就成為當務之急,更重要的是,額外的防護措施絕不能對使用者、IT 部門及企業造成額外的負擔,像是改變操作習慣、倍增維運作業,以及更多、更驚人的預算支出。

透過 Office 365 的 ATP 服務,不僅能以雲端無上限運算資源和即時更新的動能來對抗層出不窮的 APT 攻擊,還能享有彈性部署的絕佳靈活度。企業原有的資安機制無需做任何改變,也不必受限於內部郵件系統的品牌或平台,只要簡單的路徑設定,就能立即為使用者的郵件帳戶多加一道安全防線。

使用者無感、IT 部門減壓

換言之,免除傳統資安解決方案進行全面部署所耗費的時間、費用及心力,企業可以先從必須嚴密保護的對象做重點防禦,漸進地採用 Office 365 的 ATP 服務,以最小的投資獲取最大的防護成效。

對使用者而言,ATP 服務的把關程序運行於雲端,不會干擾本機電腦的運作效能,也不用重新學習操作,原有的使用習慣完全不受影響。

對 IT 部門而言,Office 365 的 ATP 服務無需進行任何軟硬體的採購、建置及上線,當然也免除了後續的維運作業如版本升級及更新。透過 Office 365 的 ATP 服務所提供的完整歷程記錄及管理報表,IT 部門就能隨時監看防禦狀態,掌握資安大小事。

APT 攻擊有重有輕,防禦之道當然也要靈活而多元,無論是全面性部署,或只想要重點式防禦,都能以 Office 365 的 ATP 服務打造從雲端到地端的防護網。

「對抗 APT 威脅的全境守護者」

— 企業郵件專家 Tom Charng

融合企業情境的安全 DNA

APT 攻擊之所以得逞的主要關鍵,就是以合法掩護非法,透過一連串魚目混珠的行為像是模仿主管姓名的寄件人、看似無害的工作文件檔案或網址連結,各個擊破以達到滲透的目標。

唯有融合企業情境的安全防護措施,才能以最少的心力與投資對抗 APT。像是 Office 365 的 ATP 服務鎖定在 APT 攻擊主要採用的電子郵件途徑,免除安裝軟硬體及執行更新的繁複作業,於雲端執行多重掃描、沙箱模擬、安全轉址等程序,不僅毫不影響使用者的操作與企業系統的運行,反而更能有效地保護信箱及郵件系統。

安全 DNA 已深植在微軟的全線產品與雲端服務,深入基礎架構保護企業組織、資料與人員,結合微軟的資安解決方案,更能打造裡應外合的防線,提供倍增的防護成效。舉例來說,Windows 10 從用戶端警戒,防範繞過電子郵件、透過檔案分享而潛入的惡意檔案;Office 2016 則會偵測含有惡意巨集語言的檔案,並使其失效無法運作。

資安同業也肯定的資安功力

未知的資安威脅日新月異,必須以更多創新且先進的技術來持續強化解決方案的有效性,例如:機器學習演算法。不可或缺的還有團隊的支援,包括資安相關的技術團隊,以及提供專業服務的專家團隊,可針對個別企業的資安需求或事件提供量身打造的解決或修復方案。

從產品、技術到團隊,微軟對資安的重視與耕耘,不僅具體展現在公有雲服務的高可用性及可靠度,相關資源如病毒碼資料庫也授權給多家知名的資安產品供應商使用,廣獲資安同業的肯定。

在數位轉型的浪潮下,善用外部資源如公有雲服務的企業組織,就能享有成本、時間及技術等更多優勢,對 APT 的防禦也是如此,運用 Office 365 的 ATP 服務就能在第一時間阻絕 APT 的滲透,真正將資安威脅擋在企業門外,徹底保護內部系統。

了解更多產品資訊

電話諮詢:0800-666-037( 週一至週五 09:00~21:00,週六、週日 10:00~18:00 )

分享此頁

感謝您參與 iThome Security Forum 資訊安全論壇-台灣微軟資安專題演講,
恭喜以下得獎者獲得「微軟限量防水收納背包」乙只,預計於 2017.8.31 前通知得獎者並寄出贈品。

得獎名單

廖○中 09××-××××96
陳○瑩 09××-××××52
王○松 09××-××××65
廖○成 09××-××××19
盧○全 02-××××××33
溫○彥 09××-××××80
吳○洲 09××-××××91
方○期 09××-××××98
許○申 09××-××××65
劉○憲 03-×××-××58#3851
周○堅 09××-××××82
劉○強 02-××××××50#219
杜○欽 09××-××××35
李 ○ 09××-××××59
黃○澤 09××-××××61
唐○惠 09××-××××14
蕭○民 09××-××××96
吳○周 09××-××××17
柯○達 07-×××-××58
K**in 09××-××××03
陳○三 07-×××-××21#246
王○任 07-×××-××51#7555
郭○碩 07-×××-××21
李○民 07-×××-××51#7555
黃○楠 09××-××××70