交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔.

Slides:



Advertisements
Similar presentations
尔雅慕课学生操作手册说明 学校自建尔雅课程 QQ 群 密码登录问题 如何参加学习 如何查看统计 如何做作业 如何参加考试 手机客户端学习 目 录目 录.
Advertisements

趋势护航 安享云端 趋势科技 王进华 Internal - Confidential.
課程名稱 : 行動裝置與資安及個資安全教育訓練 桃園市政府地政局 上課日期 / 時間: 105/05/23~25 、 105/05/27 1.
微信营销宝典. 什么是微信? 微信是腾讯公司于 2011 年初推出的一款通过网络 快速发送语音短信、视频、图片和文字,支持多 人群聊的手机聊天软件。
 指導老師:許乙清  專題成員:施瑩廷 ( 學號 : ) 、 黃柏雄 ( 學號 : ) 、 張佑任 ( 學號 : ) 淺談雲端.
玩转安卓智能手机 工程师 王东亮 图书馆 手机的发展 手机已经不仅仅是一个通讯设备,在智能系统的潮流之下, 手机已经成了一个多媒体的智能移动终端 有人喜欢用手机上 QQ ,玩微博,看网页;有人喜欢听歌, 拍照,玩游戏;有人利用手机进行日程的安排和办公 ······
北矿金融大厦项目介绍 周术艳.
綜合所得稅簡介 財政部南區國稅局臺南分局 稅務員 宋雅慧.
資訊安全教育訓練 左營分局 秘書室.
爱上我们的图书馆 —新生入馆引导 河海大学图书馆.
数字化校园建设与思考 扬州大学信息中心 沈 洁 2017年3月3日.
網站「開外掛」 優化營業人員的戰鬥力 介紹 Web365行動展售網站系統的10大特色
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
Special Report 與健康有約 IT/CIM8C/IIS 謝志雲.
Specia`l Report 與健康有約 IT/CIM8C/IIS 謝志雲.
基于移动互联技术的 健康管理信息平台 解放军总参谋部总医院.
2010年手机之家第二次圆桌会议 共同参与共创手机之家 2010年7月10日 北京双井.
某展览馆无线wifi专线接入方案 网通光纤10m独享.
安 全 維 護 臺 東 林 區 管 理 處 消費安全 詐騙防範宣導 健康生活 毒家新聞 杜絕不明匯款及金融轉帳操作
企业移动计算安全保障 Enterprise Mobile Computing Security Assurance
未来协同项目计划书.
皖新数字书屋.
尔雅慕课学生操作手册说明.
尔雅慕课学生操作手册说明.
上海宏弈源软件科技有限公司 — 12年专注益智软件研发 和配套产品服务 上海宏弈源软件科技有限公司.
北京信联云通科技有限责任公司,版权所有 NRS2 使用方法 Copyright©2011 by Octopus Link.
荷福威士顿机器人科技有限公司 上海荷福集团
銀行舞弊及內部管理常見缺失暨查核技巧 檢查局 陳組長妍沂.
最灵动的快递系统 般若快递系统V5 步步亿佰科技有限公司.
苏州大汇信息科技有限公司 招聘简介.
尔雅慕课学生操作手册说明 尔雅客服中心.
一种营销模式的转型,一种全新的金融房贷模式
2015年全球智慧型手機出貨將達14億支 Android跌破8成 微軟平台突破5,500萬支
手機作業系統及功能之比較 朝陽科技大學資訊管理系 王淑卿.
蘋果、三星聯手囊括5成智慧型手機市場 2012年他廠空間持續受擠壓
Introduction on Smartphone Platform
尔雅慕课学生操作手册说明 尔雅客服中心.
尔雅慕课学生操作手册说明.
Taylor & Francis Online 支持智能设备移动阅读
第8章 移动界面设计 山东大学计算机学院.
绿豆芽科技 让科技融入生活. 绿豆芽科技 让科技融入生活 让天下没有非互联网的公司 传统行业公司 新型科技公司 绿豆芽科技 产品研发 供应链 渠道 物联网硬件 云计算平台 APP应用 传统优势 竞争力 用户体验 团队由数十名硕士生及博士生组成,有着在德州仪器、中兴等知名企业的工作经历,项目经验丰富。团队成员获得过:电子设计竞赛国家一等奖、“Intel杯”嵌入式邀请赛冠军、“微软创新杯”
Lesson 2 十分钟完成照片雕刻 建议您用大屏幕观看教学,并同时用手机进行操作 官方网站 : cubiio.muherz.com
Haiwell Cloud 海为云介绍.
教務行政資訊系統 簡介 資訊科技中心 資訊系統組 徐振琦
移动知网 同方知网(北京)技术有限公司.
《网上报告厅》使用说明 北京爱迪科森教育科技股份有限公司.
福智 學員平台 2018/6/9 幹部月會 羅東教室.
尔雅慕课学生操作手册说明 尔雅客服中心.
电 子 商 务 实 务 王宁宁 主讲.
圖資處重點工作 校務資訊系統 品質提升 圖書資訊處 許乃斌
人工智慧應用蟲體辨識 亞洲大學 資訊工程學系 學生:殷聖展、廖哲毅、吳京育 指導教授:蔡志仁 教授
——关于机构内用户,非机构内用户,及移动端使用
107年7月新修訂轉診支付標準 及電子轉診平台簡介
信息化建设情况及应用培训 (信息化办公室 朱尚明)
智慧旅遊無縫接軌.
金中移动抄表系统培训手册 广西金中软件有限公司 2015年8月7日.
歹徒透過通訊軟體詐騙手法1-冒用身份 若被害人通訊軟體「允許被加入好友」為開啟狀態 駭侵Google帳戶取得通訊錄
人因設計 阿倫online分析 第四組 組員 : 劉雅欣 黃莉媛 林威志 王畯銨 林倢伃.
尔雅慕课学生操作手册说明 尔雅客服中心.
為民服務白皮書 台灣電力公司嘉義區營業處 .
預防詐騙犯罪宣導 (網路購物、遊戲點數、小額付款) 報告人:.
校務系統與校園網路資源簡介 主講人:電算中心 林哲正.
本校兼任助理進用流程 兼任助理僱用/學習請核 異動申請
美和科技大學資訊科技系 助理教授 美和科技大學資訊科技系 學生士
104學年度 進修學校期初工作報告.
為民服務白皮書 台灣電力公司基隆區營業處.
下一代网络营销的核心思想 首页 冯 英 健 第九届中国网营销大会 北京
台灣電力公司嘉義區營業處 經辦: 課長: 經理: 副處長: 處長:
共同作業的 7 種方法 使用 PowerPoint 與其他人共同編輯 查看誰正在使用 與他人共用簡報 以便共同編輯。 目前狀態指示器會顯示
歹徒透過通訊軟體詐騙手法1-冒用身份 若被害人通訊軟體「允許被加入好友」為開啟狀態 駭侵Google帳戶取得通訊錄
Presentation transcript:

交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔

報告大綱 APT案例 APT特性與迷思 APT防禦策略 Q & A

社交工程電子郵件攻擊流程 攻擊階段 控制階段 活動與擴散階段 3 4 2 1 5 安裝後門程式 建立 C&C 通道 觸發軟體弱點 夾帶惡意附件的社交工程信件 5 內部網路攻擊與擴散

Copyright 2012 Trend Micro Inc. 南韓事件 爆發時間:2013/3/02下午2點 範圍 6家企業約32000台主機中斷服務,無法啟動 金融業 新韓銀行(Shinhan Bank) 農協銀行(NongHyup Bank) 濟州銀行(Jeju Bank) 媒體業 韓國放送公社(KBS) 文化廣播(MBC) 南韓新聞頻道(YTN) 衝擊 營運中斷 金融業: ATM、臨櫃交易、 線上交易全面停擺 媒體業:節目無法播出,對外網站無法運站 由於植入自我毀滅性惡意程式,系統檔案被損毀,電腦主機及伺服器無法開機,導致儲存資料無法還原 Copyright 2012 Trend Micro Inc.

攻擊階段 控制階段 活動與擴散階段 3 2 4 1 5 安裝後門程式 觸發軟體弱點 建立 C&C 通道 夾帶惡意附件的社交工程信件 內部網路攻擊與擴散 夾帶惡意附件的社交工程信件 翻譯:這是您的3月份ShinCard帳單,請參考附件

澄清一下:我們早就預見這狀況,做好準備了 檔案指紋判斷與數位簽章判斷 只允跟信任的更新伺服器溝通 網路通訊加密 詳細的記錄檔,以利異常狀況標定與判斷 APT影片

南韓事件帶來的啟發 別被騙了,不可能一瞬間同時打掛32000台主機 又是社交工程! 駭客比資訊人員還清楚內部環境 早就在裡面埋樁很久了 又是社交工程! 駭客比資訊人員還清楚內部環境 新聞錯了,不是安博士被攻破,而是被利用 重點應該想想:還有多少類似安博士的系統,可能被駭客利用? APT威脅問題≠惡意程式處理 APT影片

南韓事件不是第一個,也不會最後一個 APT影片

台灣另類的世界第一

數十年來始終不變

數十年來始終不變

數十年來始終不變

總算有人打開潘朵拉盒子了!

承認吧,在座各位是目標

別再用傳統角度看APT威脅了- APT的4大特性

如果你沒聽過APT… Advanced Persistent Threat 深入、熟悉目標特性的  針對性的 持續性 進階 威脅

特性1:利用人性弱點 為什麼防不勝防? 資安水桶理論,「人」造成 的問題往往是資安防鏈中的 最弱點 駭客也講投資報酬率 利用人性弱點,社交工程攻 擊是成功率最高的方式

APT入侵最有效也最簡單的方式-社交工程電子郵件

你看得出來那裡有問題?

你看得出來那裡有問題?

你看得出來那裡有問題?

Trend Micro Confidential 你看得出來那裡有問題? Trend Micro Confidential

特性2:傳統防禦機制失靈 防毒軟體無法辨識 APT APT的惡意程式幾乎都是客製化的 利用系統或文件軟體漏洞,甚至是零時差弱點 防火牆完全無效 黑名單平均存活時間短,隨時變換,擋不完 利用正常的通信埠及通信協定 入侵偵測無效 網路流量正常,小量批次傳送資料

特性3:刻意躲避偵測的客製化攻擊 你喜歡用,駭客更愛用!

特性4:低調而迂迴 南韓事件是特例 偷資料才是王道 看看最近很紅Mandiant怎麼說? 近半數受害單位/組織不知道自已被入侵了

APT受害者平均被入侵近一年後才發現異常 Reference by Mandiant M-Trend 2013 Report

APT攻擊具有「誅九族」的特性 Reference by Mandiant M-Trend 2013 Report

傳說獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺

將APT與病毒,入侵與DD oS(阻絕服務)混為一談 認為強化與依靠現有防禦措施即可 自認自己不值得被攻擊 欠缺 缺乏正確認知 缺乏決解方案 迷思 將APT與病毒,入侵與DD oS(阻絕服務)混為一談 APT是威脅,不是攻擊! 認為強化與依靠現有防禦措施即可 萬里長城在現代擋得了誰? 自認自己不值得被攻擊 你的資料與重要性不是你決定,是駭客決定! 欠缺 缺乏正確認知 缺乏決解方案 缺乏處理流程

誰做的好事?

別再相信獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺

APT 駭客攻擊劇本 情報蒐集 1 社交攻擊 2 操縱通訊 3 橫向感染 4 資料發掘 5 資料外傳 6

目前常用的防禦方式-各各擊破,易如反掌 攻擊階段 控制階段 活動與擴散階段 無法分辨! 一堆零時差弱點! 擋不完,時效性差! 宣導員工不開起可疑電子郵件 定期修補文件軟體弱點 利用黑名單阻擋C&C連線 建置防垃圾郵件產品 防毒軟體進行掃描及清除 利用入侵偵測系統發現可疑流量 客製化與針對性,不是大量垃圾郵件 客製化與針對性! 用什麼,打什麼! 正常且低頻連線,看不出來 Stage: 強調 in-line block 攻擊階段 控制階段 活動與擴散階段

由電影「魔戒」看APT防禦策略-蹤深防禦+區域聯防

APT情報 APT蹤深防禦策略架構 偵測/阻擋 分析 偵測/阻擋 清除 專家服務平台 針對惡意社交郵件進行偵測及攔阻 即時分析惡意程式並找出可利用資訊 偵測/阻擋 偵測網路可疑行為,找出受害電腦處理並阻斷C&C連線行為 清除 清除利用其他方式進入或早已存在的惡意程式 專家服務平台

可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案 惡意社交郵件進行偵測及攔阻設計 可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案 針對各種文件格式中弱點分析 針對APT社交工程信件常用攻擊手法附件分析 可以分析加密惡意附件 可以偵測零時差攻擊且不需更新特徵碼 因為不需更新特徵碼,所以不會有防毒軟體無法辨識新惡意程式問題 快速與準確 在1秒內完成判斷,不對使用者造成困擾 除了準確偵測與攔阻夾帶惡意附件的社交工程信件之外,也不能誤攔正常信件

APT社交工程電子郵件靜態掃瞄引擎 將惡意程式植入到惡意文檔的手法設計分析規則 社交郵件閘道過濾IMSVA APT社交工程電子郵件靜態掃瞄引擎 將惡意程式植入到惡意文檔的手法設計分析規則 使用文檔開啟程式的弱點 檔案架構/格式遭到竄改 被增加了特殊的編碼 嵌入Binary code 遭植入有害的 Shell Code 文檔並非觸發單一變數就會遭通報為APT攻擊,必須符合特定組合規則 趨勢科技有專人在研究這個方面的行為,並將研究成果應用在靜態引擎上,使用於社交工程郵件閘道過濾(IMSVA)

自動化分析 利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報 DTAS分析平台 利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報 惡意程式樣本 中繼站 攻擊來源 立即將所以情報回饋至防禦機制中 樣本製作病毒碼 中繼站、攻擊來源加入防護設備中阻擋

為什麼沙盒分析(Sandbox)不適合放在第一線? 靜態引擎 偵測方式 動態執行郵件中惡意附檔 常搭配防毒軟體 靜態掃描惡意附檔 非pattern與行為偵測 速度 慢 (在虛擬機器中逐一執行) 快 (程式掃描惡意附檔中攻擊程式) 觸發率 較不準確 時間不對就無法觸發 遇到Anti-VM 無法觸發 程式版本或元件不符則無法觸發 部分樣本需特定網路環境設定才能執行 無法偵測加密附檔 準確(90%以上) 各種格式惡意附檔均可偵測 可偵測加密附件 因不動態執行,故可掃描所有惡意附檔 誤判率 高 (無法有效分析) 低 用途 部署第二道防線,擷取惡意附檔中惡意程式的行為 部署第一道防線,快速且準確攔載夾帶惡意附件之電子郵件,再由sandbox擷取惡意程式行為

偵測與阻擋 偵測連線已知中繼站連線 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動 網頁閘道過濾IWSVA Deep Discovery (DD) 網路內容威脅分析器 偵測連線已知中繼站連線 IP Domain Name HTTP流量! 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動 偵測透過Web Mail為途徑的社交工程電子郵件惡意附件 套用專家服務分析得來的專屬規則,針對惡意程式的網路行為進行進行比對偵測 APT惡意程式也有身份證號碼!

防禦方式-檢查網頁流量與請求 10個入侵案例,9個都是進入內部散佈擴散 利用系統管理不當或舊版作業系統功能設計議題,入侵重要伺服器,取得全部控制權或竊取重要資料、帳密 更慘案例是入侵伺服器,當作內部中繼站,所有內網電腦跟伺服器連線報到後,再由伺服器向外部中繼站報到,傳送資料 APT有效防禦要建立蹤深防禦的層層防線,要監控駭客有興趣的重要伺服器上檔案異動、異常登入與系統事件

重要主機防護 從南韓事件知道重要伺服器是駭客的目標 統計實際APT資安事件調查案例,10案件中有9個進入內部散佈擴散階段,其中100%重要伺服器都被駭客「已控」 公文交換系統 AD伺服器 Mail伺服器 資產管理系統 內部網頁Portal!! 監控重要伺服器的作業系統與應用程式檔案、目錄與系統登錄是否遭到變更,並在異常狀況發生時立即示警 10個入侵案例,9個都是進入內部散佈擴散 利用系統管理不當或舊版作業系統功能設計議題,入侵重要伺服器,取得全部控制權或竊取重要資料、帳密 更慘案例是入侵伺服器,當作內部中繼站,所有內網電腦跟伺服器連線報到後,再由伺服器向外部中繼站報到,傳送資料 APT有效防禦要建立蹤深防禦的層層防線,要監控駭客有興趣的重要伺服器上檔案異動、異常登入與系統事件

主機稽核 駭客手法-批次背景執行 駭客利用修改集中管控伺服器上的批次檔,使用者登入時下載並執行惡意程式 Deep Security 主機稽核安全防護 駭客利用修改集中管控伺服器上的批次檔,使用者登入時下載並執行惡意程式

主機稽核 駭客手法-批次背景執行 駭客利用竊取的帳密登入伺服器,執行惡意行為後,清除登入記錄,避免被追蹤到潛藏暗樁 Deep Security 主機稽核安全防護 駭客利用竊取的帳密登入伺服器,執行惡意行為後,清除登入記錄,避免被追蹤到潛藏暗樁

清除攔阻 將回饋的惡意程式樣本在第一時間內製作特徵碼,防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式,協助應變與處理 從南韓事件發現最後還是得由防毒軟體執行最後一道防線,阻擋與清除惡意程式 雖然偵測攔截到攻擊,但因使用不同廠商,所以從樣本提供到製作特徵碼時間差,造成嚴重損失 將回饋的惡意程式樣本在第一時間內製作特徵碼,防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式,協助應變與處理

專家服務平台與情報中心 面對APT威脅,必需假設滲透不可免 沒有100%安全的解決方案 需具備自我資安事故應變或調查的能力,或由專業第三方提供「即時」服務 第三方的服務能量、能力、經歷很重要,千萬別找鬼拿藥! 針對被通報的連線處理 針對重大資安事件,進行詳細的調查,提供「綜觀」的改善建議 定期執行資安健診,抽樣或全面檢測使用者電腦與重要伺服器安全水位,提早發現異常狀況,提升防護成效,降低風險 由專業第三方提供APT情報。針對回饋的資訊,進行分析,將分析結果提供客戶參考,並於新攻擊發現時預警客戶

事前/事中/事後的資安應變與處理

這樣就結束了嗎?駭客字典裡沒有放棄- 行動裝置安全 這樣就結束了嗎?駭客字典裡沒有放棄- 行動裝置安全

國外利用手機攻擊特定人士的APT攻擊案例

台灣當然不會倖免於外

智慧型行動裝置防護策略 裝置安全性防護 儲存資料防護 設備管理 惡意程式防護 網路通訊防護 應用程式管理 資料加密 遠端銷毀 資料存取 資產清點 硬體使用

on Android, iOS, BlackBerry, Windows Mobile & Symbian 趨勢科技智慧型行動裝置防護策略 Device Security Data Protection - 惡意APP防護 - 手機病毒掃描 - 垃圾訊息過濾 (來電 & 簡訊) - 網路威脅防護 - 手機防火牆 - 遠端定位 - 特定位置App控管 - 連線惡意網頁分析 - 設備與檔案加密 - 強制密碼政策 - 遠端鎖定 - 遠端清除 - 特定位置功能封鎖 - 連線特定IP自動啟動VPN - 管制特定寄件者帳號 Policy and Management Framework Device Management on Android, iOS, BlackBerry, Windows Mobile & Symbian - 設備功能管制 (相機、藍芽裝置) - 設備應用功能管制 (APP安裝、畫面擷取、WIFI功能) - 資產清查與稽核 - 設備資訊紀錄 - 全域設定預載 (VPN、Exchange Server、WIFI)

在APT時代,沒有旁觀者,沒有終點 Q & A