隨著資訊安全攻防技術不斷演進，躲藏在暗處的駭客似乎略佔上風，各單位組織、政府、銀行金融業的資料洩漏事件頻傳，令 CIO 及 IT 主管頭痛不已，歸咎原因，除了內賊人謀不臧要靠制度與稽核流程把關外，來自外部 Internet 的網路威脅正方興未艾。

APT是利用以特徵碼為基礎的資安設備漏洞

當今來自五湖四海的黑客、網軍與商業間諜以更有組織、更有系統地研究傳統的網路安全設備之運作原理與漏洞，諸如防火牆(Firewall)、入侵防禦(IPS)、郵件過濾閘道(Anti-spam Gateway)、網頁過濾閘道(Web Filter Gateway)及端點防禦防病毒(Anti-Virus)等，大多以特徵碼為基礎去比對與攔截。

根據長年研究病毒與惡意程式的 LastLine Lab分析，傳統防毒廠商仍有存在價值，但力有未逮。從出現全新惡意程式(malware)到能夠真正攔截，當中可能耗時二天、兩週、兩個月、甚至一年，因此新形態APT 網路攻擊是利用上述資安設備無法即時偵測到的全新惡意程式形態滲透。

對抗 APT 的策略

對抗全新 APT 之方法並非取代傳統資安防禦體系，而是補強缺口與加強員工良好使用習慣，以往 CIO或 IT 經理在提列年度資訊安全維運預算時，防毒、防垃圾郵件、入侵防禦與防火牆的支出被視為理所當然；但是某單位萬一不幸發生資安洩密事件時，CEO 第一個質疑的是該花的錢都已花了，為何還是出事？殊不知資訊安全沒有100%，但是達到99%與99.999%的資安等級卻有天壤之別，因此花錢單位的主管(CIO或IT經理)如何提出 APT 防護政策顯得格外重要，如何做出資安風險評估報告，需要靠科學數據來佐證，以一封 APT 的釣魚郵件而言，他的威脅與破壞力，可能會勝過100封已知(known)的病毒郵件(已被偵測與隔離)，更勝過一萬封的垃圾郵件或廣告郵件；但是弔詭的是透過攔截統計報告一看，APT 的攔截事件數量遠低於 Anti-Spam 與 Anti-Virus，非技術主管肯定會質疑 Anti-APT 的表面數字，此時，CIO 必需要再做更科學的風險威脅評估，方能獲得最終決策者支持。

Cellopoint Anti-APT as a Service

以 APT 防禦的投資與預算考量，用戶自建沙箱，自建關聯式分析與統計引擎，再加上蒐集網路流量的探針 (Probe) 將會所費不貲，如何擁有完整 Anti-APT 聯防體系，又不要投資大量成本，雲端聯防服務(Anti-APT as a Service) 是一種不錯的選擇 (如下圖)，Cellopoint 在雲端機房佈署沙箱檢測叢集環境，及關聯式分析與統計引擎中控台，再提供 Anti-APT 服務給廣大用戶，在用戶端可輕鬆且快速部署 Probe，在 Internet 出口端偵測對外合法的網路連線外，針對 C&C call back 行為、非法惡意下載、異常連線與物件皆可分析與偵測，方能全方位深層檢測 APT 威脅。

此外，傳統 Anti-Spam 或 Anti-Virus 閘道器無法有效透過沙箱模擬點擊釣魚連結或開啟惡意附件，諸如常見的 Word、Excel、Power Point 或PDF，甚至壓縮檔，但現在 Cellopoint 可以在掃描完 spam 及 virus 後，再針對可疑的連結或附件，透過安全連線送往 Anti-APT 雲端沙箱做檢測與關聯式分析，透過聯防機制降低總持有成本TCO(Total Cost of Owership)。

除了傳統的資安設備再加上全新 Anti-APT 聯防機制外，縱深防禦再完備，如果員工沒有好的資安觀念與謹慎的使用習慣，仍然無法防範駭客威脅，因此定期的社交工程郵件滲透測試演練成為必要課目，亦可列為 IT 單位及員工績效考核評分，方能徹底防範千變萬化的資安威脅與網路攻擊。

關於 Cellopoint 實驗室

CelloLabs成立於2005年，成員來自各國頂尖大學及研究所，及業界實戰經驗豐富的資深專家與顧問所組成，成立初期專門針對電子郵件相關領域做深入的研究，包括 RFC 標準、IETF 草案，結合理論與實務，並開發出以下核心技術與解決方案，包括CelloOS™ 安全強化與效能最佳化作業系統，CGAC™ (Cellopoint Global Anti-spam Center) 全球反垃圾郵件監控中心與全球垃圾郵件發送來源信譽評等資料庫 SRL(Sender Reputation Lists)；當中歷經含 URL 的釣魚郵件與夾帶惡意程式的檔案附件威脅，因此本實驗室跨出電子郵件安全領域，特別針對上網行為(web)及各種檔案(content)偵測，及 Android 行動裝置之 APT 行為做監控，透過虛擬化與沙箱(sandbox)做深層檢測與關聯式分析技術，深入研究駭客手法與行為，偵搜全球受感染與被控制的殭屍網路與 C&C 主機，成為面向更廣的資訊安全實驗室之一。