【臺灣資安大會直擊】IBM以知識圖譜技術重建APT攻擊者痕跡，更要推論出企業未來容易受攻擊的潛在弱點

「當你的公司遭到入侵的時候，你怎麼在最快的速度找到攻擊者？」2019臺灣資安大會中，IBM軟體研發中心台北實驗室、研創小組召集人林俊叡指出，未來進階持續性威脅（Advanced Persistent Threat, APT）將越來越常見，如何掌握攻擊者的犯罪手法（Tactics, Techniques, and Procedures, TTP）、發掘潛在的危機，甚至防堵未來的攻擊，AI將扮演重要角色。

他引述世界經濟論壇2019全球風險調查結果，資料詐欺或竊取（Data fraud or theft）、網路攻擊（Cyber-attacks）的發生率分別是第4、5名；網路攻擊、重要資訊基礎建設故障（Critical information infrastructure breakdown）的衝擊力也佔據第7、8名，由此可知，網路攻擊是2019年需要慎防的問題。

而網路攻擊的動機又可大致分為4種，分別是獲取資訊（Access to information）、獲取財物（Financial profit）、駭客行為（Hacktivism）、網路戰（Cyberwar）。2018年獲取資訊（45%）的案例勝過獲取財物（33%），但在金融界，網路攻擊的目的仍以獲取財物為主。

以搶銀行組織APT 38為例，這個駭客組織的任務動機是財務導向，他們使用網路間諜攻擊手法，曾經部署26支客製化的惡意軟體在目標對象的網路與系統架構，更能隨著防毒軟體的更新而進階修正、不被偵測；從威脅情資報告中，也難以察覺攻擊者的目的與身分。

林俊叡更表示，等到對方要撤退時，可能先大規模癱瘓硬體設備，讓銀行顧此失彼無暇抓人，更甚者還留下其他Malware來誤導調查。因此，未來APT的威脅將更難以預測，「如何在對方達成目的之前，先用犯罪的線索找到幕後黑手，就是IBM在資安引進AI技術想要實現的目標」。

面對APT攻擊，IBM引入Knowledge Graph推論潛在危機

「找出攻擊者為什麼重要？」林俊叡表示，市面上的防毒軟體功能，大多僅為了掃描入侵威脅、阻擋問題IP、修補安全漏洞等，無法更積極地推論出攻擊者的目的、找到他是誰，進而阻擋新型態的APT攻擊；就連IBM持續針對內部的攻擊（Offenses）進行分析，也有高達99%在現有威脅情資報告中找不出攻擊者。

因此，IBM開始在內部先導研究使用知識圖譜技術（Knowledge Graph）技術來偵查網路犯罪的痕跡，先蒐集企業內部的「疑似攻擊資訊」後，將可疑的IP、檔案雜湊值（Hash）以及網域（Domain）等資料，與知識圖譜資料庫內的資訊來比對，不只可以找出這些來自企業內疑似攻擊資訊間的關連，甚至可以擴大找出更多情報，例如從可疑 IP的相關知識圖譜資訊，可以進一步找出此IP背後相關的攻擊者或病毒家族（Malware Family），再從這些攻擊者過去手法的情報，進一步推測駭客這次攻擊這家企業的可能目的。過去得透過資安研究員層層人工解讀、比對才能繪製出來的攻擊脈絡痕跡，未來可望能透過知識圖譜技術，來推論潛在威脅供企業或資安人員參考。

在先導研究中，IBM先利用文字處理AI技術，大量擷取各種非結構化的資料，包括資安新聞、最新研究報告、資安通報等，來建構一套資安知識圖譜，例如繪製出一個攻擊木馬excel檔，背後相關的攻擊者、攻擊事件、類似攻擊木馬或手法等脈絡情靠，再利用AI技術來推論潛在威脅，並自動產生一份結構化的情資威脅報告。

為了先建立一套可用來推論潛在威脅用的資安知識圖譜模型，IBM資安實驗室先利用已知的網路安全情報（Cyber Security Intelligence, CSI）的入侵指標（Indicators of Compromise, IOC）進行推論引擎，將訓練用的資料分出十分之一，作為測試驗證效果用的資料，反覆訓練與測試後，根據此先導研究結果顯示，知識圖譜已有超過80%的正確率；IBM也用於分析IBM內部發生過的攻擊事件資訊，過去99%的情況下都無法辨認攻擊者，現在採用知識圖譜模型可以找出93%事件背後的攻擊者。

林俊叡說明：「從駭客所部署在企業內的小東西，可以推測出到底是誰在攻擊你。」就像警察尋找連鎖犯罪一樣，同一個犯罪組織、或相似攻擊目的的攻擊程式可以找出共同性。但是各種情報資料非常龐大，透過知識圖譜自動連結第三方情資並推論情資報告，就可以在可能遭駭客攻擊的途徑中進行防禦。例如透過重新調整網路架構，有效避開特定類型的網路攻擊等。

至於為何使用知識圖譜而不用ML技術，林俊叡解釋，採用ML會有黑箱方法的疑慮，可能產出無法解釋的結果，但若使用Knowledge Graph來推論攻擊痕跡，則較容易解釋推論過程。