近年來頻傳重大駭侵資安事件，究其原因在於駭客滲透初期未能有效察覺並做及時處置，而是到了最後階段的資料遭竊、加密，才因勒索通知得知駭客早已入侵的事實，只能急著找資安專家協助處理善後。

事實上，駭客從成功入侵到取得機敏資料，通常不會只是短短幾天的過程。就因為多數企業只靠閘道型即時主動偵測防禦機制，忽略了駭客組織可利用社交工程、零時差攻擊、無檔案攻擊等手法，成功地繞過防禦機制滲透入內網建立灘頭堡的威脅。一旦企業遭滲透侵入，脆弱的內網毫無招架之力，任憑駭客潛伏、伺機攻城掠地，直到發生嚴重資安事件為止。

如下案例是近年來本公司調查過遭駭最為嚴重的事件。受害機構將開放對外服務的網站伺服器建置於內網之中，在現有資安防禦機制未能偵測抵擋攻擊行動而遭成功滲透後，內網的眾多伺服器就直接暴露在駭客攻擊範圍中，成為囊中物、盤中飧，而最前線的防火牆完全無法發揮作用。

 

圖一

從(圖一)攻擊時間序來看，駭客顯然於8月3日前就已成功滲透進入Web-Svr1，並利用此主機進行橫向攻擊滲透到其他伺服器；包括置入駭客工具、植入後門程式、下載刺探及滲透工具到伺服器上、以及運用內建powershell系統工具夾雜經過編碼的惡意腳本(圖二)，得以規避資安檢測，進而竊取機敏資料。

 

圖二

擴大分析調查該事件，發現受害機構的內網在前一年的1月3日就已遭滲透入侵，分別在目標區伺服器內植入木馬後門回報中繼站、及植入Mimikatz類惡意程式攔截帳號密碼，掌控整個AD網域及依附在其下的應用系統。

從此事件的分析得知，資安管理人員當調整思維，認清內網資安僅靠端點防毒軟體來守備是絕對不足的事實。要達到更完善的資安防禦目標，除了須不斷地提升與強化既有資安機制的縱深，更應該建立一套如TeamT5 ThreatSonar系統進行內網的威脅獵捕，迅速識別駭客的攻擊行為，並標示及告警通知內網端點遭入侵之工具等資訊，協助資安管理人員及時得知、迅速應變、以及移除威脅與進行系統回復作業(圖三)。

圖三