面對目標攻擊不能只是挨打，Kaspersky倡言新的主動因應之道——威脅獵捕

這幾年以來，鎖定目標的網路攻擊（Target Attack）因為採用的手法相當獨特、複雜、多變，而且所要侵襲的對象相當精準、明確，一直是許多資安防護難以有效阻絕的威脅。

而在今年臺灣資安大會上，卡巴斯基實驗室副首席技術長暨智能情報服務負責人Sergey Gordeychik，就以此為題，剖析全球各地先前發生過的幾次重大目標式攻擊事件，並且提出因應之道。

Sergey Gordeychik舉出許多實例，首先提到的攻擊是日益猖獗、人人聞之色變的勒索軟體（Ransomware）。2016年11月底，美國舊金山城市鐵路系統（Municipal Transportation Agency，MTA）就遭到勒索軟體攻擊，而使得票務系統停擺。

除了勒索軟體的威脅，Sergey Gordeychik也談到之前多起鎖定目標的攻擊事件，例如，癱瘓烏克蘭發電廠的BlackEnergy惡意軟體，而在這些攻擊事件中，有不少例子，並非僅針對單一公司、單一產業，攻擊對象範圍之廣，也超乎想像。

例如，2016年3月，Cobalt黑客組織就針對15個國家、40多間銀行的ATM設備，發動攻擊以盜領現金，7月時，臺灣的第一銀行也受到ATM盜領的攻擊；2016年，孟加拉中央銀行也遭遇多次攻擊，他們在環球銀行金融電信協會（SWIFT）的全球銀行跨行轉帳交易服務，受到入侵而損失大筆金錢。

而到了今年，企業遭到目標攻擊的事件仍然頻傳，就像2月發生震驚全球的無檔案惡意軟體（fileless）大規模侵入事件，更是已經滲透40個國家、超過140家企業，有不少銀行、電信業者、政府機關均是受害對象。

為了要妥善防禦各種鎖定目標的攻擊，Sergey Gordeychik說，基本上，可透過預測、預防、偵測、反應的處理流程，並且持續進行。然而，若要更主動、積極地針對這樣應接不暇的威脅，Sergey Gordeychik認為，威脅獵捕（Threat Hunting）會是值得各界關注的新作法。這裡所提到的威脅獵捕，是指透過所收集到的資料，不斷反覆地搜尋，以便找出刻意躲避偵測的進階威脅。

Sergey Gordeychik表示，除了實施相關的預防機制，以及透過安全維運中心提供的異常監控、警示，獲得了一定程度的保護，若能同時搭配威脅獵捕，可望進一步降低殘留在環境內的安全風險，對於攻擊發動後、防守方偵測到威脅耗費的時間，也能夠予以縮減。這種作法還可以用來發現未知型的目標式攻擊，以及基於不同的手法、技術與步驟（Tactics, techniques and procedures，TTP）而成的攻擊，甚至是非惡意程式型態的攻擊（Non-malware Attack）。

至於為何是以「獵捕」這麼嚴重的方式來稱呼，Sergey Gordeychik說，威脅是「人」所造成的，重點在於敵人，而非只關注他們所用的工具（惡意軟體）。Sergey Gordeychik說的這段話，並非只是他個人主張，主要出自於國際資安組織SANS的一份報告——《The Who, What, Where, When, Why and How of Effective Threat Hunting》。

事實上，威脅獵捕並非只是空談的理想，Sergey Gordeychik也引用SANS在2016年4月進行的調查，已經有企業或組織導入。在該項調查的496份有效問卷當中，有高達86％的使用單位表示，開始涉入相關的應用，並基於提升察覺安全異常行為的原因來推動，但目前沒有正式的威脅獵捕計畫的則有4成。

而在進行威脅獵捕時，Sergey Gordeychik認為，首先我們本身必須具備幾個條件：提供安全的使用環境、擁有充分的入侵指標（IOC）資訊、能夠分析資料，接著，可以進行威脅獵捕的流程，透過模擬情境的偵測、部署，以及實際偵測、證據蒐集、資料分析等步驟，然後再接續上述的模擬情境、實際操作的程序。

在導入威脅獵捕的過程中，Sergey Gordeychik建議可以採用下列4種工具來幫忙。

首先是威脅情資的取得，當中會需要用到關於攻擊手法、技術與步驟，以及系統可直接讀取的威脅情資餵送服務（Machine-Readable Threat Intelligence，MRTI）。

其次，是感測器的部署，必須能夠收集主機、網路、基礎設施、應用系統的狀態，才能夠更完整地掌握異常狀況與突發事件。

接下來是收集與分析機制的建立，我們會需要能夠收集、匯聚資料的雲端服務、儲存空間，以及資料分析引擎。最終，則是威脅獵捕團隊的設置。Sergey Gordeychik也特別提到，威脅獵捕的機制必須架構在安全維運中心之上。

面對目標式攻擊的來襲，我們需要採取許多作法來遏止，若要做好威脅獵捕，Sergey Gordeychik也提出三大簡單的原則，而這也是許多資安專家不斷耳提面命的建議。第一點是知彼、更要知己，也就是了解敵人的攻擊動機與方式之餘，同時也要清楚自己的安全弱點所在；第二點是跟隨變化多端的安全威脅趨勢之餘，也要懂得善用手邊所擁有的各種資源；第三點則是關注未來即將面臨的各種攻擊，同時需記取過去自己與他人所經歷的安全事件教訓。