APT駭客攻擊層出不窮,前陣子爆發索尼影業的APT駭客攻擊,中華電信及精誠資訊8日宣布攜手推出偵測APT及未知資安威脅的解決方案鷹眼「EyeQuila」,結合中華電信回溯式大數據分析追蹤技術,以及精誠資訊的SBOX大數據資料運算平台,針對網路行為足跡做回溯分析,追蹤異常行為。
(圖說:中華電信及精誠資訊合推資安解決方案EyeQuila,透過巨量日誌的軌跡分析異常並警示。圖片來源:郭芝榕攝影。)
資安將成為中華電信的一大特色,中華電信總經理石木標指出,EyeQuila能透過巨量日誌的軌跡進行精細的分析,判斷出異常加以警示,甚至可在1分鐘內確認有沒有連線到惡意中繼站,協助企業提升資安事件應變能力,降低受駭風險。
中華電信總經理石木標說,預期相關資安產品今年有近1億元規模,明年會再倍數成長,對旗下中華電信研究院的投資每年約30億元。中華電信接下來將著重在雲端、物聯網、大數據等領域,中華電信研究院的研發也會跟著業務並行,目前已跟一些政府相關機構開始測試,也會優先與政府機構搭配使用。
(圖說:EyeQuila精誠資訊的設備和大數據運算架構,結合中華電信的大數據回溯分析技術。圖片來源:郭芝榕攝影。)
精誠資訊總經理林隆奮表示,安全智能是很重要的一部分,中華電信有資料科學家及資安研究人員,結合中華電信的軟體和分析技術,加上精誠資訊的運算與儲存設備(硬體),出貨由精誠代表,但雙方通路都會一起推動,將下來也會持續把產品推廣到國外,包括香港、新加坡及澳門,把生態體系擴大。
林隆奮說,企業資安普遍占IT支出的10%,精誠去年在資安產品的年成長更高達128%,只要是關心企業營運,對資安有概念的客戶都是潛在的客戶。
如何發現APT攻擊?
APT(進階持續性滲透攻擊)是由組織型駭客發起的針對性持續攻擊,多利用社交工程郵件,在攻擊目標的電腦中植入惡意程式,進行長期潛伏竊取機密資料。市場上最常見的APT解決方案多採閘道端(Gateway)的沙箱偵測方式,但仍無法100%阻擋,當APT闖入企業網路後,企業往往缺乏有效機制將它找出。
(圖說:目前企業面臨APT攻擊的三大困擾,包括有沒有被APT攻擊、何時、哪些主機受駭。圖片來源:郭芝榕攝影。)
通常APT攻擊有三步驟,先偽裝身份搶灘潛伏進去,準備擴充,接著佔領。中華電信數據通信分公司資通安全處副處長謝東明比喻,「EyeQuila就像是在紫禁城內布了更多感測器,讓闖進紫禁城的偽裝身份者在準備擴散時就被發現。」
APT攻擊千變萬化,謝東明說,只去分析病毒的類型還不夠,EyeQuila結合中華電信過去的資料庫,分析企業內部的三大網路日誌包括防火牆、Proxy及DNS日誌,9TB資料量約1分鐘就可分析完畢,3分鐘就可以找出結果。只要駭客準備連線,一定有連線紀錄,較可容易被發現。
發現之後接下來呢?就要交由企業內部資安人員來處理,所以EyeQuila是可以縮短企業內部資安人員在資安防護的流程。
駭客專家指出,EyeQuila是看網路行為、系統日誌,比對過去的APT攻擊流量特徵,看看這些大數據中的日誌是否為APT攻擊。然而,APT攻擊是人為攻擊,分析出來的結果還是要人為解讀。至於是否需要大數據分析?APT攻擊的重點是在找出位置,跟資料大小沒有太大關聯。
