專訪安全專家：APT 混合 DDoS 攻擊成最新趨勢 (上）

現時針對 DDoS 及 APT 的防禦技術已經愈來愈進步，而企業亦會通過部署相對應的方案以便為企業把關。近日就 APT 以及 DDoS 的問題，我們便訪問了來自 Nexusguard 的產品總監張運達 Donny Chong。先介紹一下 Nexusguard 是甚麼，可能大家都已知悉，但仍先介紹一下吧！

引用其官方簡介：「Nexusguard 成立於二○○八年，Nexusguard 為對抗惡意網路攻擊的全球領導性廠商。保護客戶免受分散式阻斷服務(DDoS) 攻擊及多種網路威脅，確保網路服務不受干擾。Nexusguard 致力為世界各地不同產業及規模的客戶提供全方位、高度客製化的網路安全解決方案，並且為網路服務供應商提供全面性 DDoS 防禦專案及支援服務。總部設立於 舊金山，Nexusguard 之安全專家網絡正快速地拓展全球。」

至於接受訪問的 產品總監張運達 Donny Chong 則已經於 Nexusguard 服務了近五年時間，並於 IT、電信產業有長達 11年多經驗，擅長領域包括通路行銷、產品銷售、產品經營管理、企業服務等。於 Nexusguard 服務期間，他擔任多項DDoS 主線防禦產品之行銷、銷售、規劃以及產品規格之策略角色，包括適合高階客戶之客製化服務、符合中小型企業需求之標準防禦服務，和針對網路服務供應商之 DDoS 防禦產品。自終端客戶需求，至內部研發規格，皆有深入淺出之研究與影響。

問：記者

答：Nexusguard 產品總監張運達先生 － Donny Chong

問：現時很多防禦方案均支援針對 APT 攻擊進行掃描，可以就此分享更多嗎？
答：APT 攻擊是一種新穎網路攻擊的廣泛用語，指的是一種針對、持續性的進階攻擊。而近來，DDoS 攻擊更成為 APT 攻擊的前哨站，用來先行測試網站弱點、轉移注意力等。藉此機會希望跟讀者分享一些 APT 型式 DDoS 攻擊的經驗。

由於 APT 攻擊的目標明確、攻擊特性多變，因此防禦方式也需要更加多元化才能成功抵禦，面對這些挑戰，我們建議採取多層防禦策略，不管是防火牆、入侵偵測系統、負載平衡器等基本或進階的網路安全設備，再加上安全監控中心的大數據分析以及經驗豐富的網路安全專家判斷等，這樣才可有效進行防禦。

而其他品牌先不說，就 Nexusguard 的方案而言，我們能夠提供到主動的監控與研究。以短期因應來說，可對應用程式層進行監控，我們的 SOC（安全監控中心）能夠及早偵測到入侵，例如當攻擊者準備進行針對式攻擊時，會使用一種常見的手法 – scanning（掃描）。這便會自動觸發 Nexusguard 的示警功能，使企業能夠及早防範 APT 及 DDoS 攻擊。其實我們的研究團隊長期研究監控最新的攻擊趨勢與手法，以便能夠先發制人，並於事件發生後作後續追蹤，甚至是監控那些尚在研究階段的零時差攻擊手法。

對安全監控和資安緊急事故應變處理來說，時間永遠都是最重要的關鍵。傳統的被動應變將不再足以應付層出不窮的資安威脅，主動監控異常活動、即時偵測及針對性，有效的緊急應變計畫的準備，才是一套完整的網路安全策略。這也將會為企業的安全控管取得更佳的可視性與控管。網路安全防禦策略至關重要的，因此是要針對惡意威脅帶來的風險定期的評估與分析。透過積極主動的作法，企業可以檢視自己是否具備可預見攻擊的能力。

問：除了針對目標網絡傳送惡意軟件以誘使用戶端啟用及觸發攻擊之外，還有甚麼方法能引起 APT 攻擊？
答：APT 攻擊不僅僅只是單一手法，可以從多面向、以多種檔案格式進行攻擊。根據 Nexusguard 2015 年安全趨勢報告顯示，最新的 APT 攻擊是利用瀏覽器的漏洞，例如造成災情慘重，讓全球半數伺服器都陷入危機的漏洞 ShellShock，或使用跨平台的最新零時差攻擊工具。

瀏覽器漏洞被用來作攻擊之用，通常發生在最新版本的網頁瀏覽器上，例如 Chrome、IE。整個 APT 攻擊的發生，起始於一個惡意 URL 連結，並在受害者的設備上引發一連串的攻擊反應，例如下載攻擊程式碼、關閉本機防毒軟體，然後將 APT 相關的惡意軟件植入受害者設備；而最近一次的最大規模 DDoS 攻擊 – GitHub 攻擊事件，也是類似的攻擊手法。

跨平台漏洞則容易會被運用在物聯網裝置(IoT, Internet of Things) 、終端設備如智能手機上，並再以此作為攻擊企業網絡的切入點。

待續…