IBM軟體研發中心台北實驗室、研創小組召集人林俊叡指出,未來進階持續性威脅(APT)將越來越常見,如何掌握攻擊者的犯罪手法(TTP)、發掘潛在的危機,甚至防堵未來的攻擊,AI將扮演重要角色。

「當你的公司遭到入侵的時候,你怎麼在最快的速度找到攻擊者?」2019臺灣資安大會中,IBM軟體研發中心台北實驗室、研創小組召集人林俊叡指出,未來進階持續性威脅(Advanced Persistent Threat, APT)將越來越常見,如何掌握攻擊者的犯罪手法(Tactics, Techniques, and Procedures, TTP)、發掘潛在的危機,甚至防堵未來的攻擊,AI將扮演重要角色。

他引述世界經濟論壇2019全球風險調查結果,資料詐欺或竊取(Data fraud or theft)、網路攻擊(Cyber-attacks)的發生率分別是第4、5名;網路攻擊、重要資訊基礎建設故障(Critical information infrastructure breakdown)的衝擊力也佔據第7、8名,由此可知,網路攻擊是2019年需要慎防的問題。

而網路攻擊的動機又可大致分為4種,分別是獲取資訊(Access to information)、獲取財物(Financial profit)、駭客行為(Hacktivism)、網路戰(Cyberwar)。2018年獲取資訊(45%)的案例勝過獲取財物(33%),但在金融界,網路攻擊的目的仍以獲取財物為主。

以搶銀行組織APT 38為例,這個駭客組織的任務動機是財務導向,他們使用網路間諜攻擊手法,曾經部署26支客製化的惡意軟體在目標對象的網路與系統架構,更能隨著防毒軟體的更新而進階修正、不被偵測;從威脅情資報告中,也難以察覺攻擊者的目的與身分。

林俊叡更表示,等到對方要撤退時,可能先大規模癱瘓硬體設備,讓銀行顧此失彼無暇抓人,更甚者還留下其他Malware來誤導調查。因此,未來APT的威脅將更難以預測,「如何在對方達成目的之前,先用犯罪的線索找到幕後黑手,就是IBM在資安引進AI技術想要實現的目標」。

面對APT攻擊,IBM引入Knowledge Graph推論潛在危機

「找出攻擊者為什麼重要?」林俊叡表示,市面上的防毒軟體功能,大多僅為了掃描入侵威脅、阻擋問題IP、修補安全漏洞等,無法更積極地推論出攻擊者的目的、找到他是誰,進而阻擋新型態的APT攻擊;就連IBM持續針對內部的攻擊(Offenses)進行分析,也有高達99%在現有威脅情資報告中找不出攻擊者。

因此,IBM開始在內部先導研究使用知識圖譜技術(Knowledge Graph)技術來偵查網路犯罪的痕跡,先蒐集企業內部的「疑似攻擊資訊」後,將可疑的IP、檔案雜湊值(Hash)以及網域(Domain)等資料,與知識圖譜資料庫內的資訊來比對,不只可以找出這些來自企業內疑似攻擊資訊間的關連,甚至可以擴大找出更多情報,例如從可疑 IP的相關知識圖譜資訊,可以進一步找出此IP背後相關的攻擊者或病毒家族(Malware Family),再從這些攻擊者過去手法的情報,進一步推測駭客這次攻擊這家企業的可能目的。過去得透過資安研究員層層人工解讀、比對才能繪製出來的攻擊脈絡痕跡,未來可望能透過知識圖譜技術,來推論潛在威脅供企業或資安人員參考。

在先導研究中,IBM先利用文字處理AI技術,大量擷取各種非結構化的資料,包括資安新聞、最新研究報告、資安通報等,來建構一套資安知識圖譜,例如繪製出一個攻擊木馬excel檔,背後相關的攻擊者、攻擊事件、類似攻擊木馬或手法等脈絡情靠,再利用AI技術來推論潛在威脅,並自動產生一份結構化的情資威脅報告。

為了先建立一套可用來推論潛在威脅用的資安知識圖譜模型,IBM資安實驗室先利用已知的網路安全情報(Cyber Security Intelligence, CSI)的入侵指標(Indicators of Compromise, IOC)進行推論引擎,將訓練用的資料分出十分之一,作為測試驗證效果用的資料,反覆訓練與測試後,根據此先導研究結果顯示,知識圖譜已有超過80%的正確率;IBM也用於分析IBM內部發生過的攻擊事件資訊,過去99%的情況下都無法辨認攻擊者,現在採用知識圖譜模型可以找出93%事件背後的攻擊者。

林俊叡說明:「從駭客所部署在企業內的小東西,可以推測出到底是誰在攻擊你。」就像警察尋找連鎖犯罪一樣,同一個犯罪組織、或相似攻擊目的的攻擊程式可以找出共同性。但是各種情報資料非常龐大,透過知識圖譜自動連結第三方情資並推論情資報告,就可以在可能遭駭客攻擊的途徑中進行防禦。例如透過重新調整網路架構,有效避開特定類型的網路攻擊等。

至於為何使用知識圖譜而不用ML技術,林俊叡解釋,採用ML會有黑箱方法的疑慮,可能產出無法解釋的結果,但若使用Knowledge Graph來推論攻擊痕跡,則較容易解釋推論過程。


Advertisement

更多 iThome相關內容