跳至主要內容

什麼是進階的持續性威脅?

建立 AWS 帳戶

頁面主題

什麼是進階的持續性威脅?

進階的持續性威脅 (APT) 是一種複雜的、多階段的安全事件,其目標是特定的企業資產。進階的持續性威脅是未經授權的執行者進入組織環境,在系統間移動以獲取資產,轉移敏感資訊,並試圖在不被偵測到的情況下退出。由於進階持續性威脅的戰術複雜且具有針對性,因此確認及應對這些威脅可能極具挑戰性。防範進階的持續性威脅需要採用多系統、多學科方法。

進階的持續性威脅事件 (APT) 有哪些目標?

進階的持續性威脅事件可能有以下預期目的之一。

竊取智慧財產權

智慧財產權,包括商業機密或政府機密、專有來源程式碼或私人通訊,皆為組織內部的敏感資料。進階的持續性威脅組織透過非法手段取得資料,來獲得初步存取權,從而獲得競爭優勢或對目標企業網路造成負面影響。

金融詐騙

進階的持續性威脅可控制企業系統及營運,給予未經授權執行者所需的存取權限來實施金融詐欺。這些操作可能會從使用者帳戶進行資金轉帳,或者從公司竊取敏感資料,冒充公司內部具有權限的人員。

勒索軟體 

一次成功的進階的持續性威脅事件可能以實作勒索軟體為目標。在這個範例中,進階的持續性威脅首先會對敏感資料加密,以及阻止使用者存取目標網路。這些未經授權的團體可能會索要高額贖金,以換取解密檔案的金鑰。 

聲譽損害

一些進階的持續性威脅團體的具體目標是,透過向公眾洩露資訊來損害組織的聲譽。

進階的持續性威脅與典型的網路威脅有何差異?

進階的持續性威脅只考慮高價值目標。相較於一般網路威脅,確認進階的持續性威脅 (APT) 更為複雜,因為這類威脅不遵循傳統模式。由於沒有常見的安全事件向量、事件的時間範圍,或是簽章,因此,查找並抵銷這些安全事件更具挑戰性。 

在典型的安全事件中,資料庫操作或資料移動流量可能會突增,而進階的持續性威脅事件則採用更有序的方法來保持隱藏。

此外,進階的持續性威脅可能並非尋求即時獲益,因此,這類威脅會花時間建置更為廣泛的威脅。由於進階的持續性威脅在系統中保持不被偵測到,在安全小組決定執行操作之前,該類威脅可能長時間在公司內保持不被偵測到。

進階的持續性威脅有哪些特徵?

下面列出了進階的持續性威脅最常見的特徵與症狀。

精心策劃的多階段活動,以便獲得存取權

進階的持續性威脅包含多階段事件,通常會遵循相似的系列步驟。

首先,未經授權執行者會針對目標組織及其系統執行偵察,以便收集資產及潛在漏洞的相關資訊。他們會在此基礎上,制定充分利用所發現漏洞的方法。

未經授權的執行者取得公司系統存取權之後,會依序存取系統的各個部分。他們透過社交工程、網路區段導覽,以及其他技術,取得更高的權限來實現這一目標。此外,他們還能分散安保人員的注意力。設定命令與控制伺服器來協調通訊。

在目標資產被存取之後,未經授權的執行者通常會開始竊取資料或篡改被入侵的系統,具體取決於事件的目標。某些進階的持續性威脅會在最後階段試圖掩蓋其蹤跡,來阻止人們發現該事件。

由一支專門針對進階的持續性威脅的積極團體執行

進階的持續性威脅活動由未經授權的活躍執行者發動,通常以團體形式運作。這些團體形式多種多樣,包括國家支持的進階的持續性威脅組織、專業的網路犯罪組織、駭客行動主義團體,或是小型雇傭駭客團隊。

儘管進階的持續性威脅的主要目標是獲取經濟利益,但其中一些團體發動進階的持續性威脅事件是為了收集敏感資訊、洩漏資料、破壞基礎結構,或是影響組織的聲譽。 

在多個系統中持續相當長時間的事件

前面提到的各個階段可能會持續很久。由於進階的持續性威脅事件具有針對性,攻擊組織會精心規劃,緩慢行動,以避免引起注意或觸發系統警報。在某些情況下,進階的持續性威脅攻擊可能在數月甚至數年內不被偵測到,然後採取措施實現最初的目標。

精心設計,不留下蹤跡

進階的持續性威脅執行者行動的最後階段是掩蓋事件的任何蹤跡,例如,透過刪除檔案、修改日誌,或者模糊資料庫的某些方面等技術。藉由降低網路安全團隊發現系統異常狀況的可能性,未經授權的執行者更有可能逃脫懲罰。

另外,藉由掩蓋其存在的證據,進階的持續性威脅還能對其具體的滲透方法保密。憑藉這種機密的退出方式,他們能夠對其他目標組織採取同樣的緩慢而有條不紊的策略。

什麼是進階的持續性威脅智慧?

進階的持續性威脅 (APT) 智慧是一種專門的威脅智慧形式,其為企業提供了資訊與指引,以便應對正在進行的進階的持續性威脅活動、已確立的進階的持續性威脅未經授權執行者,以及進階的持續性威脅目前使用的社交工程技術。 

進階的持續性威脅智慧與一般威脅智慧在來源、三角測量技術、報告、分析與應用方面有所差異。

阻止進階的持續性威脅的安全措施有哪些?

下面列出了若干有效的安全措施,可協助預防及抵禦進階的持續性威脅。

威脅智慧

威脅智慧系統是協助防範進階的持續性威脅的有效策略。威脅智慧可整合內部與外部安全資料,以便提供事件目前狀態,以及其常見向量的全方位檢視。您可藉助公有與私有資料,確定主要的潛在進階持續性威脅的對抗策略與戰術,以及抵禦此類威脅的方式。

組織能夠實作威脅智慧平台、開放原始碼威脅智慧摘要,以及 MITRE ATT&CK 之類的架構,藉此來收集情報及制定策略。

日誌記錄與遙測

針對網路安全系統、網路、資產存取點、端點監控,以及整體系統運作狀態資料進行高效及廣泛的日誌記錄,可讓安全專家對您的業務系統製做全方位的概觀。保留精細的日誌,以及實作進階分析能夠改善異常狀況偵測,並為非預期安全事件的回溯調查提供支援。

技術

您可採用若干項技術,來提升偵測、抵銷,以及緩解進階的持續性威脅的能力。下面列出了在這項安全技術堆疊中採用的一些中央技術:

  • 入侵偵測系統 (IDS):監控網路流量,以便確認任何可疑活動的工具。
  • 安全資訊與事件管理系統 (SIEM):關聯各種安全系統中資料的解決方案,以便提供即時威脅偵測,以及對非預期安全事件的回應。
  • 端點偵測與回應 (EDR):映射及監控公司所有端點裝置,以便確認異常狀況及自動做出回應。

分層安全策略

除了針對進階的持續性威脅的安全措施,您還可實作分層安全策略,以便降低發生非預期安全事件的可能性。您可引入網路區隔、保障位置儲存、實作最低權限存取權、對公司所有帳戶強制執行多重要素驗證,以及針對靜態與傳輸中資料採用強加密標準。另外,定期修補網路軟體、系統軟體,以及應用程式軟體,可協助緩解已知漏洞。

培訓

對於進階的持續性威脅,以及其他非預期網路安全事件而言,其中一個最常見的進入點是透過與公司員工聯絡。無論是透過網路釣魚詐騙,還是誘騙員工按下入侵連結進行社交操縱,安全小組往往會針對組織內的目標個人。隨著 AI 的發展,進階身分冒充技術正變得越來越普遍。

您可執行定期安全意識計畫,以便對抗組織內的社交工程威脅。您的員工應能辨認進階的持續性威脅的初始跡象,然後向安全團隊報告這些事件。

AWS 如何助力組織抵禦進階的持續性威脅的侵害?

AWS 提供各種服務,旨在助力組織抵禦進階的持續性威脅。AWS Security Hub 透過統一可視性、切實可行的洞察,以及自動化工作流程來革新雲端安全。

Amazon GuardDuty 針對雲端提供完全可擴展、受管的威脅偵測。Amazon GuardDuty 可利用自動化分析和量身定制的修復建議,快速識別、關聯和回應威脅,以協助最大程度地減少業務中斷。Amazon GuardDuty 提供智慧威脅偵測功能,有助於保護您的 AWS 帳戶、工作負載與資料。

Amazon Inspector 能自動發現 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器映像及 AWS Lambda 函式、以及程式碼儲存庫等工作負載,並且加以掃描以得知軟體弱點及非預期網路暴露。

Amazon Macie 使用機器學習和模式比對來探索敏感資料,提供對資料安全風險的可見性,並針對這些風險啟用自動化保護機制。

AWS 安全事件回應可讓您為安全事件做好準備、回應安全事件以及從安全事件中復原。安全事件回應服務能夠自動執行監控與調查,加速通訊與協調,以及與 AWS 客戶事件回應團隊 (CIRT) 全天候直接聯繫。

即刻建立一個免費帳戶,開始助力您的組織抵禦 AWS 上的進階持續性威脅。