圖片來源: 

李宗翰 攝影

這幾年以來,鎖定目標的網路攻擊(Target Attack)因為採用的手法相當獨特、複雜、多變,而且所要侵襲的對象相當精準、明確,一直是許多資安防護難以有效阻絕的威脅。

而在今年臺灣資安大會上,卡巴斯基實驗室副首席技術長暨智能情報服務負責人Sergey Gordeychik,就以此為題,剖析全球各地先前發生過的幾次重大目標式攻擊事件,並且提出因應之道。

Sergey Gordeychik舉出許多實例,首先提到的攻擊是日益猖獗、人人聞之色變的勒索軟體(Ransomware)。2016年11月底,美國舊金山城市鐵路系統(Municipal Transportation Agency,MTA)就遭到勒索軟體攻擊,而使得票務系統停擺。

除了勒索軟體的威脅,Sergey Gordeychik也談到之前多起鎖定目標的攻擊事件,例如,癱瘓烏克蘭發電廠的BlackEnergy惡意軟體,而在這些攻擊事件中,有不少例子,並非僅針對單一公司、單一產業,攻擊對象範圍之廣,也超乎想像。

例如,2016年3月,Cobalt黑客組織就針對15個國家、40多間銀行的ATM設備,發動攻擊以盜領現金,7月時,臺灣的第一銀行也受到ATM盜領的攻擊;2016年,孟加拉中央銀行也遭遇多次攻擊,他們在環球銀行金融電信協會(SWIFT)的全球銀行跨行轉帳交易服務,受到入侵而損失大筆金錢。

而到了今年,企業遭到目標攻擊的事件仍然頻傳,就像2月發生震驚全球的無檔案惡意軟體(fileless)大規模侵入事件,更是已經滲透40個國家、超過140家企業,有不少銀行、電信業者、政府機關均是受害對象。

為了要妥善防禦各種鎖定目標的攻擊,Sergey Gordeychik說,基本上,可透過預測、預防、偵測、反應的處理流程,並且持續進行。然而,若要更主動、積極地針對這樣應接不暇的威脅,Sergey Gordeychik認為,威脅獵捕(Threat Hunting)會是值得各界關注的新作法。這裡所提到的威脅獵捕,是指透過所收集到的資料,不斷反覆地搜尋,以便找出刻意躲避偵測的進階威脅。

Sergey Gordeychik表示,除了實施相關的預防機制,以及透過安全維運中心提供的異常監控、警示,獲得了一定程度的保護,若能同時搭配威脅獵捕,可望進一步降低殘留在環境內的安全風險,對於攻擊發動後、防守方偵測到威脅耗費的時間,也能夠予以縮減。這種作法還可以用來發現未知型的目標式攻擊,以及基於不同的手法、技術與步驟(Tactics, techniques and procedures,TTP)而成的攻擊,甚至是非惡意程式型態的攻擊(Non-malware Attack)。

至於為何是以「獵捕」這麼嚴重的方式來稱呼,Sergey Gordeychik說,威脅是「人」所造成的,重點在於敵人,而非只關注他們所用的工具(惡意軟體)。Sergey Gordeychik說的這段話,並非只是他個人主張,主要出自於國際資安組織SANS的一份報告——《The Who, What, Where, When, Why and How of Effective Threat Hunting》。

事實上,威脅獵捕並非只是空談的理想,Sergey Gordeychik也引用SANS在2016年4月進行的調查,已經有企業或組織導入。在該項調查的496份有效問卷當中,有高達86%的使用單位表示,開始涉入相關的應用,並基於提升察覺安全異常行為的原因來推動,但目前沒有正式的威脅獵捕計畫的則有4成。

而在進行威脅獵捕時,Sergey Gordeychik認為,首先我們本身必須具備幾個條件:提供安全的使用環境、擁有充分的入侵指標(IOC)資訊、能夠分析資料,接著,可以進行威脅獵捕的流程,透過模擬情境的偵測、部署,以及實際偵測、證據蒐集、資料分析等步驟,然後再接續上述的模擬情境、實際操作的程序。

在導入威脅獵捕的過程中,Sergey Gordeychik建議可以採用下列4種工具來幫忙。

首先是威脅情資的取得,當中會需要用到關於攻擊手法、技術與步驟,以及系統可直接讀取的威脅情資餵送服務(Machine-Readable Threat Intelligence,MRTI)。

其次,是感測器的部署,必須能夠收集主機、網路、基礎設施、應用系統的狀態,才能夠更完整地掌握異常狀況與突發事件。

接下來是收集與分析機制的建立,我們會需要能夠收集、匯聚資料的雲端服務、儲存空間,以及資料分析引擎。最終,則是威脅獵捕團隊的設置。Sergey Gordeychik也特別提到,威脅獵捕的機制必須架構在安全維運中心之上。

面對目標式攻擊的來襲,我們需要採取許多作法來遏止,若要做好威脅獵捕,Sergey Gordeychik也提出三大簡單的原則,而這也是許多資安專家不斷耳提面命的建議。第一點是知彼、更要知己,也就是了解敵人的攻擊動機與方式之餘,同時也要清楚自己的安全弱點所在;第二點是跟隨變化多端的安全威脅趨勢之餘,也要懂得善用手邊所擁有的各種資源;第三點則是關注未來即將面臨的各種攻擊,同時需記取過去自己與他人所經歷的安全事件教訓。


Advertisement

更多 iThome相關內容