迎戰(zhàn)APT駭客攻擊，中華電信、精誠(chéng)共推EyeQuila方案

APT駭客攻擊層出不窮，前陣子爆發(fā)索尼影業(yè)的APT駭客攻擊，中華電信及精誠(chéng)資訊8日宣布攜手推出偵測(cè)APT及未知資安威脅的解決方案鷹眼「EyeQuila」，結(jié)合中華電信回溯式大數(shù)據(jù)分析追蹤技術(shù)，以及精誠(chéng)資訊的SBOX大數(shù)據(jù)資料運(yùn)算平臺(tái)，針對(duì)網(wǎng)路行為足跡做回溯分析，追蹤異常行為。

（圖說(shuō)：中華電信及精誠(chéng)資訊合推資安解決方案EyeQuila，透過(guò)巨量日誌的軌跡分析異常并警示。圖片來(lái)源：郭芝榕攝影。）

資安將成為中華電信的一大特色，中華電信總經(jīng)理石木標(biāo)指出，EyeQuila能透過(guò)巨量日誌的軌跡進(jìn)行精細(xì)的分析，判斷出異常加以警示，甚至可在1分鐘內(nèi)確認(rèn)有沒(méi)有連線到惡意中繼站，協(xié)助企業(yè)提升資安事件應(yīng)變能力，降低受駭風(fēng)險(xiǎn)。

中華電信總經(jīng)理石木標(biāo)說(shuō)，預(yù)期相關(guān)資安產(chǎn)品今年有近1億元規(guī)模，明年會(huì)再倍數(shù)成長(zhǎng)，對(duì)旗下中華電信研究院的投資每年約30億元。中華電信接下來(lái)將著重在云端、物聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域，中華電信研究院的研發(fā)也會(huì)跟著業(yè)務(wù)并行，目前已跟一些政府相關(guān)機(jī)構(gòu)開(kāi)始測(cè)試，也會(huì)優(yōu)先與政府機(jī)構(gòu)搭配使用。

（圖說(shuō)：EyeQuila精誠(chéng)資訊的設(shè)備和大數(shù)據(jù)運(yùn)算架構(gòu)，結(jié)合中華電信的大數(shù)據(jù)回溯分析技術(shù)。圖片來(lái)源：郭芝榕攝影。）

精誠(chéng)資訊總經(jīng)理林隆奮表示，安全智能是很重要的一部分，中華電信有資料科學(xué)家及資安研究人員，結(jié)合中華電信的軟體和分析技術(shù)，加上精誠(chéng)資訊的運(yùn)算與儲(chǔ)存設(shè)備（硬體），出貨由精誠(chéng)代表，但雙方通路都會(huì)一起推動(dòng)，將下來(lái)也會(huì)持續(xù)把產(chǎn)品推廣到國(guó)外，包括香港、新加坡及澳門，把生態(tài)體系擴(kuò)大。

林隆奮說(shuō)，企業(yè)資安普遍占IT支出的10％，精誠(chéng)去年在資安產(chǎn)品的年成長(zhǎng)更高達(dá)128％，只要是關(guān)心企業(yè)營(yíng)運(yùn)，對(duì)資安有概念的客戶都是潛在的客戶。

APT（進(jìn)階持續(xù)性滲透攻擊）是由組織型駭客發(fā)起的針對(duì)性持續(xù)攻擊，多利用社交工程郵件，在攻擊目標(biāo)的電腦中植入惡意程式，進(jìn)行長(zhǎng)期潛伏竊取機(jī)密資料。市場(chǎng)上最常見(jiàn)的APT解決方案多採(cǎi)閘道端（Gateway）的沙箱偵測(cè)方式，但仍無(wú)法100％阻擋，當(dāng)APT闖入企業(yè)網(wǎng)路后，企業(yè)往往缺乏有效機(jī)制將它找出。

（圖說(shuō)：目前企業(yè)面臨APT攻擊的三大困擾，包括有沒(méi)有被APT攻擊、何時(shí)、哪些主機(jī)受駭。圖片來(lái)源：郭芝榕攝影。）

通常APT攻擊有三步驟，先偽裝身份搶灘潛伏進(jìn)去，準(zhǔn)備擴(kuò)充，接著佔(zhàn)領(lǐng)。中華電信數(shù)據(jù)通信分公司資通安全處副處長(zhǎng)謝東明比喻，「EyeQuila就像是在紫禁城內(nèi)布了更多感測(cè)器，讓闖進(jìn)紫禁城的偽裝身份者在準(zhǔn)備擴(kuò)散時(shí)就被發(fā)現(xiàn)?！?/p>

APT攻擊千變?nèi)f化，謝東明說(shuō)，只去分析病毒的類型還不夠，EyeQuila結(jié)合中華電信過(guò)去的資料庫(kù)，分析企業(yè)內(nèi)部的三大網(wǎng)路日誌包括防火墻、Proxy及DNS日誌，9TB資料量約1分鐘就可分析完畢，3分鐘就可以找出結(jié)果。只要駭客準(zhǔn)備連線，一定有連線紀(jì)錄，較可容易被發(fā)現(xiàn)。

發(fā)現(xiàn)之后接下來(lái)呢？就要交由企業(yè)內(nèi)部資安人員來(lái)處理，所以EyeQuila是可以縮短企業(yè)內(nèi)部資安人員在資安防護(hù)的流程。

駭客專家指出，EyeQuila是看網(wǎng)路行為、系統(tǒng)日誌，比對(duì)過(guò)去的APT攻擊流量特徵，看看這些大數(shù)據(jù)中的日誌是否為APT攻擊。然而，APT攻擊是人為攻擊，分析出來(lái)的結(jié)果還是要人為解讀。至于是否需要大數(shù)據(jù)分析？APT攻擊的重點(diǎn)是在找出位置，跟資料大小沒(méi)有太大關(guān)聯(lián)。

文章來(lái)源：機(jī)房監(jiān)控 http://www.dr4xxf.cn