原标题:【远银遭骇追追追】趋势建议:面对APT攻击,纵深防御是最佳的防御
远东银行日前因SWIFT系统遭骇客入侵,险遭盗转18亿元,最后虽然成功追回大部分款项,但至截稿前,仍有1,500万元流向不明,还在持续追回中。而从远银遭骇事件也凸显出,台湾金融业者的资安防护机制仍不够严谨,才得以让骇客有机可乘。趋势科技资深技术顾问简胜财则建议,面对难以察觉的进阶持续性渗透攻击(APT),金融企业在资安保护上,应采取多层次的纵深防御机制,才能够有效防堵和抵挡骇客攻击。
简胜财表示,这次远银SWIFT系统遭骇事件并不是首例,去年国外也有好几起骇客入侵SWIFT系统的事件传出,例如孟加拉银行等,根据他的观察,这几起案件都采用类似的攻击手法,都是利用APT手法进行的目标式攻击,骇客先通过恶意程式入侵公司内网建立立足点后,再进行内网扩散,进而逐步取得重要系统的存取权限。
对于这类型的APT攻击手法,简胜财直言,银行业者不能再只单靠传统防护阻绝攻击,例如只通过防毒软件或防火墙等,他反而建议,企业必须要建立一套多层次的纵深防御机制,通过层层安全机制的把关,才能够有效防堵APT攻击。
他表示,采用纵深防御的好处是,一方面有助于提高骇客入侵的门槛,另一方面,当骇客真的入侵之后,仍有很高机会从骇客入侵内网扩散的过程中,找出可疑活动的迹象,早一步将损害降到最低。
简胜财表示,防御的作法上,首先,除了在网络闸道端布建防护机制,包括邮件、网页防护等,另外针对内网最好也得建立网络流量检测机制,以便于当骇客入侵后,可以从中找出可疑的骇客行为;而在一般电脑上也必须要做好足够的防护,除了最基本的防毒软件,还必须加上网页页面的检查,以及行为监控机制,甚至还可以结合机器学习技术,加强电脑安全的保护。
伺服器则是另一项资安防护重点。简胜财说,针对重要的伺服器设备,可以通过异动监控的软件来进行管理和监控,找出是不是有一些奇怪的档案被执行,或被安装到伺服器上,甚至可以采用更严格的白名单机制,限制只能允许使用指定的应用程序,其他一律不得执行。
除了要建立纵深防御外,简胜财也强调,在资安防护上,企业必须投注更多资源,不单单只是添购资安产品,还包括得加强人员的管理和事件监控等。以SWIFT系统为例,简胜财表示,银行SWIFT系统,理论上应该要放置在实体隔离的网络环境,并也要设定存取控管权限,一般电脑并不能直接存取系统,而必须通过设定好的跳板机来连线才能用。另外,针对银行内部重要的营运或交易系统,也必须加强执行异常事件监控,甚至即使是一些看似正常的事件,也需要进行分析跟过滤,比如一个员工登入成功的行为,也该分析其登入是否合理正常,以避免后续有更大的灾情出现。文⊙余至浩
iThome△Security
相关:
台湾微软资讯安全暨风险管理经理林宏嘉 在10月3日远东银行通报资安事件爆发之后,微软是第一批进驻参与紧急处理的软件厂商之一,尽管囿于保密协议无法透露处理细节,不过,台湾微软资讯安全暨风险管理经理林宏嘉表
【远银遭骇追追追】骇客集团连续锁定台湾,台湾金融业历年遭骇事件簿
金融业者近年来面临著资讯防护的内忧外患,内部资安要精准控管、滴水不漏,面对外部的骇客恶意攻击,也要有抵御的能力。从去年开始的第一银行ATM盗领案、今年初的证卷商集体遭DDoS阻断式网络攻击,一直到最近的远东银
AI趋势双周报第18期:Oracle云端产品线也要AI化,ERP云等4大主力云产品先升级
重点新闻(0930~1013)机器学习 企业管理Oracle云端产品线也要AI化,ERP云等4大主力云产品先升级今年稍早传出甲骨文准备投入AI市场,成立两个解决方案工程中心,近日甲骨文终于宣布,在既有的云端产品线中整合AI技术,
【政府资料治理可以这样做】奥勒冈州追踪20年少年司法记录,找出预防再犯的最佳裁决建议
依据国内外犯罪学者与犯罪矫治实务专家研究结果发现,少年罪犯若是处置不当,提早进入刑事司法体系的机率越高,甚至进入少年犯罪矫治机构,像是少年辅育院、少年监狱,未来,成年累犯的机率会提高,犯罪行为也会越多
抢搭电动车趋势!TOYOTA、MAZDA、电装联手开EV公司
我酷新闻网记者黄有容/综合报道为因应全球减碳,包括英、法等国皆已经、或有意规范燃油车销售,各大汽车商也因而必须跟上电动车趋势。部分车商因为起步较晚,为了尽快进入电动车市场,选择与同业合作。前有法国雷诺(