周峻佑攝
來自他國的國家級駭客攻擊,已是各國必須正視的主要威脅之一,而想要及早防範,新加坡安信資訊安全(Ensign InfoSecurity)集團執行副總裁林有立認為,以往各家資安業者可能針對所專精的領域,提供防護措施,但站在國家資安防禦的角度,以他們為新加坡政府建置相關情資系統的經驗來看,則需要從網路服務業者(ISP)提供的網路,到端點電腦之間,進行多層次的統合,才能達成綜效。因此,他在HITCON Pacific 2018裡,以該公司協助新加坡政府建立的威脅情資系統為題,進行演說。
林有立強調,偵測攻擊行為與防守同等重要,因此新加坡政府建置這個威脅情資平臺,最重要的功能訴求之一,就是要及早發現入侵行為,才能在災害發生之前先行攔截,避免造成嚴重的損失。
由於相較恐怖攻擊行動,發動網路攻擊不僅成本相對低廉,而且也難被追蹤到真正的來源,同時,還能藉此收集到其他國家的情報,因此,這種型態的攻擊事件不斷發生。這種型態的侵略方式,往往也會鎖定受害國家重要的基礎設施,致使面臨國家安全問題,早在2013年時,時任美國國家情報總監的James Clapper便表示,網路攻擊對該國所帶來的威脅,遠超過恐怖攻擊。因此,包含臺灣在內的許多國家,近年來都著手加以防範資安攻擊。林有立強調,大家不能抱持著僥倖的心態看待網路攻擊,因為不只是可能會發生,而是隨時隨地都有機會,出現在你我的單位裡。
而在這個國家等級的威脅情資平臺裡,網路層的系統是由安信資訊自行打造,而端點防護的部分,則是採用了我國業者奧義智慧(CyCarrier)的解決方案。林有立也指出他們實際執行的經驗,在勒索軟體WannaCry爆發,以及川金會(Trump Kim summit)遭受俄國攻擊時,都達到了能夠及早得知攻擊情報的目的。
攔截網路攻擊,首重駭客登陸的前72小時
想要防範這種攻擊,林有立指出,由於駭客需要掩人耳目,避免很快被受害者發現異常,導致受到封鎖而造成行動失敗,因此,駭客並不會一開始入侵就動手攻擊。對於防守者而言,若是當出現這種入侵徵兆時,予以攔截,就能避免攻擊事件的發生。
那麼,多少時間之內是能夠在駭客進行活動以前,阻止攻擊事件的黃金時間呢?林有立說,一般而言,72小時之內,駭客處於初步成功滲透的狀態,並且正在探查周遭的環境,假如我們找出這種剛潛伏不久的威脅,便能先發制人,避免可能出現的攻擊事件與損害。
隨著駭客滲透的時間愈長,他們造成的威脅或是災害,也隨之增加。若是埋伏一個星期才被發現,這段期間中,駭客會進行橫向移動,假如他們潛藏了一個月,就會開始竊取重要資料。因此,要是受到攻擊的國家能在上述期間內,就掌握這種疑似攻擊的跡象,便成為杜絕網路威脅的關鍵。
找出駭客攻擊行為,必須統整多層面威脅情資
新加坡政府為了要找出前述駭客初期潛入的徵兆,委由安信資訊建置相關的防範系統,而該公司結合3種層面的資料分析,包含的範圍從端點和企業的網路,擴及ISP流量檢測,林有立指出,由於網路與端點能夠收集到的異常行為有所不同,因此,統合這些層面的情資,方能涵蓋較為全面的事件樣貌。
如果將攻擊流程區分為6個階段--從駭客初步的偵察、傳送攻擊工具、然後進行入侵,與植入惡意軟體,再從遠端取得控制及連結,最終取得想要的機密。其中,政府如果想要找到駭客伺機而動的偵察行為,必須從網路流量的資料下手,而攻擊者在端點電腦植入作案工具時,則要從端點電腦的事件記錄找尋蛛絲馬跡,至於其餘4個攻擊階段,雖然網路流量和端點電腦的事件記錄裡,都能提供相關的證據,但由於收集的來源不同,呈現的攻擊樣貌也有所差異,因此,政府當局想要分析出較為準確的結果,勢必不能只依賴網路或是端點電腦層面的情資。
值得留意的是,安信資訊在進行規畫時,將網路服務商提供的網路。列為最前端的第一道防線,該公司的系統藉由大數據分析,即時分析ISP網路進出的流量,並收集其中的Metadata進行分析,一旦出現與惡意主機連線的現象,以及特定弱點帶來的網路埠流量,該系統便可以此產生有關情資與入侵指標(IOC)檔案,供企業及早因應。
林有立指出,2017年5月出現的WannaCry勒索軟體攻擊,該系統在大爆發的2個星期之前,便從ISP網路流量中,發現到通過445埠的流量極為不尋常,判斷駭客正在進行探測的行為,因此便通知新加坡國內的企業,儘快封鎖這個連接埠,以便預防這一波勒索軟體的攻擊。
而從他們建置的威脅情資平臺中,今年6月12日於北韓舉行的川金會時,也發現來自俄羅斯的攻擊流量突然爆增,而且幾乎整天都在大量發動攻擊。林有立說,這樣的攻擊透過監聽5060埠與5038埠,主要的目的就是想要掌控記者與電視臺之間的通訊,進而竊聽記者報導川金會的內容。
再者,這個平臺的應用,還包含了識別駭客在殭屍網路裡,以相同IP位址對應多個網域(IP Fast-Flux),或是使用動態網域演算法(Domain Generation Algorithm)的情形。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-11
2024-12-10
2024-11-29