APT攻擊成新常態 情報專才助抵禦黑客

Mandiant北亞區總經理徐海國（左）及港澳區總經理徐伊芬表示: Mandiant服務並非不取代現有保安產品，而往往是協助客戶微調或優化產品的部署，以發揮更佳的保安性能。

企業轉型

疫情下網絡攻擊活動頻繁，香港也不能倖免。企業投資在各種網絡保安設備和服務，企業採購保安設備太多，五花八門，不過是否奏效，就不得而知。

近期全球勒索軟件肆虐，加上零日攻擊創下歷史新高，本港發現APT的次數愈來愈頻密，網絡保安人員更疲於奔命。

攻擊手段日新月異，任何的網絡保安設備或方案，都不是完美，須與時並進。不少專家指出，網絡安全要靠專才（People）、流程（Process）、技術（Technology）三大關鍵結合；技術最容易，採購只是預算問題，流程則須經常檢討，以免掛一漏萬，專才則最難求，缺口愈來愈大，不少機構轉而外聘，或購買托管式的保安服務（MSS）。

除了靠專業人才經驗，抵禦攻擊亦要可靠的「威脅情報」（Threat Intelligence），才能先發制人，零日攻擊愈來愈多，愈早知悉，則可防患於未然，故此網絡保安情報的價值，愈來愈高。

威脅情報先發制人

過去數年，Mandiant公佈了不少威脅的情報，甚至預告了網絡攻擊。Mandiant北亞區總經理徐海國說，新保安形勢之下，應付威脅手段，最重要就是情報和專才，還有中立的專業意見。

Mandiant出售了FireEye品牌在內的產品業務給私募基金Symphony為主財團後，公司名稱亦恢復為Mandiant，專注在「保安控制中立」（Controls-agnostic）的網絡保安服務。

徐海國說，Mandiant專注以保安服務為本，不傾向任何廠商產品，沒有潛在的利益衝突。

事實上，Mandiant一直在事故應變（Incident Response）和鑑識調查（Forensic）享負盛名，近期不少重大網絡保安事故，包括了Colonial Pipeline和T-mobile入侵事件，都是由Mandiant負責處理，

現有投資用得其所

徐海國說，近期本港勒索軟件持續爆發，發現多種惡意軟件，多家機構也聘請Mandiant提供事故應變服務，進行事後調查並改善保安。Mandiant的服務包括「快速反響」（Rapid Response）；從控制受攻擊面（Containment）、清除惡意軟件和攻擊（Eradication），並馬上填補漏洞（Remediation），以免日後同樣攻擊再發生。

Mandiant具備獨有科技，專注優化保安科技，不少機構即使投資網絡保安，例如防火牆、電郵過濾、偵察漏洞等，並不知道能否真正應付的攻擊，Mandiant確保現有保安投資，用得其所，最弱一環在那裡，團隊更有信心保護網絡。網絡保安須經常練習，防備不同的攻擊，以驗證配置是否具備防禦效力，配置是否正確，發揮預期的效用。

檢證現有保安平台

「Mandiant服務並非不取代現有保安產品，而往往是協助客戶微調或優化產品的部署，以發揮更佳的保安性能。」

例如進階持續攻擊（APT）可能是神不知鬼不覺，潛伏網絡長時間。Mandiant推出的全天候的Managed defense，已經部署在本港多家機構。而Gartner則稱之為Managed Detection & Response。徐海國說客戶已使用此項服務，而且滿意度極高。

徐海國說，Managed defense並不同於市面上的托管式保安服務（MSS），而Managed defense則是細緻緊密監控所有終端，一旦受感染馬上隔離，以確保病毒不會擴散。

Mandiant港澳區總經理徐伊芬，類似Advantage平台，就是基於Mandiant的情報系統，建立不同的方案，除了檢驗保安弱點，也具備XDR能力作自動應變，取代第一級保安分析，並減少誤報。

據Mandiant的研究，近期的網絡攻擊，除了更多多重的網絡勒索，不同方式多次勒索金錢；另一項趨勢是針對營運技術平台（Operational Technology）愈來愈多，因為OT的平台很少更新，弱點更多。Colonial Pipeline就是明顯的例子。

近年機構依賴雲平台及雲端寄存服務供應商持續業務營運，採用第三方平台確保其穩定性及安全。Mandiant認為，依賴雲平台及雲端寄存服務供應商之機構，將更易受到網絡攻擊，而物聯網攻擊更將於未來幾年持續增長。