對於MITRE評估計畫的發展,勤業眾信風險資訊服務副總經理林彥良指出,未來談的可能不只是單一產品,而是不同產品結合的防禦平臺,可以得到更好的效果。(攝影/洪政偉)

近期,臺灣有資安新創奧義智慧的資安軟體產品服務,在國際舞臺上嶄露頭角,因為他們參加了一項MITRE ATT&CK評估計畫,能與眾多國際知名資安業者有比拚技術實力的機會,而這樣的一件事,或許大家更想知道其意義是什麼?

因此,我們將從以下幾個層面一一解析,包括這項評測為何受到資安界重視?企業又應該如何看待評測結果?而奧義智慧這次的經驗,是否能鼓舞臺灣資安人才,在資安產品研發這條路也可以勇闖國際?

透過評測結果完全公開的活動形式,促進資安產品發展

從MITRE評估計畫的思維來看,各界可以從公開網站上可以看到各廠牌的優劣,每次評測也都是參照一個APT組織的攻擊。簡單來說,針對已發生的攻擊事件,都可能沒有辦法偵測到,那就更不用說面對那些未知的攻擊。攝影/洪政偉

為何資安圈很重視這項評估計畫?基本上,若要了解評測的意義與價值,我們對ATT&CK框架也要有一定的認識。

對於難以防範的APT攻擊,MITRE已經建立一套能更清楚描述駭客行為、意圖與作法的ATT&CK框架,並定義出共通語言,這對於盛行攻防與情資的資安業界而言,相當重要。

同時,MITRE本身也與一些大型資安業者合作,因此當有新的駭客攻擊手法被業者發現,也能彙整到架構之中,相對地,資安業者也可以應用此框架來溝通攻擊行為,企業也可用以評估自我防禦。而MITRE發起的評估計畫,也因為能模擬實際駭客組織的APT攻擊,加上是一種類競賽的活動方式,有助於各方評估之用,同樣受到多方關注。

對此,提供資安顧問服務的勤業眾信,本身在資安評估時也會用ATT&CK來談防禦的概念,針對評估計畫,他們也提出看法。該公司風險資訊服務協理陳威棋表示,由於每次評測都會參照一個APT組織,這是很不錯的思維,利用模擬真實駭客組織發生過的攻擊手法,將能檢視特定已知攻擊的偵測能力,像是這次模擬APT29的攻擊,由於該組織較少使用惡意程式,大多是無檔案式的攻擊手法,透過PowerShell入侵,就很特別,因此不同駭客組織其結果也有差異。更重要的是,外界都可以在網站上看到各家的詳細評測結果,相當透明。

對於評估計畫的發展與價值,有多年與MITRE的合作經驗,已經成立30年的臺灣資安大廠趨勢科技,也提出他們的觀察,而他們也是這次參與評測的廠商之一。該公司全球產品事業部陳韋良協理表示,趨勢科技之前就曾將新發現的駭客組織技術手法,提出到ATT&CK框架,這次他們也有派出4人前往MITRE總部參與測試,他是其中之一,其他3位則是來自北美地區的同事。

從這次測試經驗來看,即便他們提到自家在整體偵測率表現是最好,不過趨勢科技也認為,藉由評測所得的資訊,將能讓他們能夠瞭解需要改進之處,這有助於產業開發更好的產品。例如,這次的純偵測模式,可有助於增強SOC的情報能力。

對於這樣的發展現況,陳韋良表示,從MITRE提供的ATT&CK Navigator就可看出,目前已經彙整了多達86個不同的APT組織,他指出,未來MITRE應該會加速評估計畫的進行,也就是每年評測次數會增加,以更多攻擊組織為設想,他們也樂觀看待其發展。

例如,趨勢科技有針對誤報率的問題,與MITRE討論是否要納入評測,只是目前還沒看到解決方法,至於現階段的評測主要聚焦在產品偵測能力,他們認為,後續將會加入產品防護成效的項目,畢竟各家產品策略不盡然相同,以他們自身的產品功能而言,在偵測之外,也更會強調關鍵之處的阻斷能力。

因此,這項評測有助於資安產品的設計,同時MITRE也在持續精進與擴大評測面向。

藉助評測結果找到最適合的產品,重點是瞭解自身資安資源

從另個角度來看,對於企業而言,ATT&CK框架對企業防護評估也有助益,而對於這樣的評測結果又該如何看待呢?已有不少專家給出分析與意見。

勤業眾信資訊服務副總經理林彥良表示,最主要的觀念,在於企業擁有什麼樣資安的資源,如此才能知道自己的需求,而他們常遇到的狀況是,客戶連需要什麼都不知道,只想要最好的,但其實應該是找最適合的。

而我們也在評估結果出爐之後,看到有國外專家Jonathan Ticknor將公司分成三種需求形態,像是SOC還不成熟、SOC較成熟,或是需仰賴MSSP,這是因為各自的環境與條件有差,看待測試結果的方式就會不同,他並提出自己的一套評分標準。而全球市調研究機構Forrester的資深分析師Josh Zelonis,也曾針對首輪評估提出自訂評分標準,對於第二輪評估,他則進一步從警告的效率與質量,討論警告品質的問題。

不過,林彥良也認為,這樣的評測確實是有幫助,但需要時間教育。如果只靠這樣的評測結果,就要讓客戶買單,其實還是不容易。主要也是ATT&CK相當偏重攻擊技術層面,即使資訊人員能夠理解,但要用此評測當報告向老闆解釋時仍有難度。他也舉例,如果是金融業要拿評估計畫來衡量,會比較容易帶來幫助,但他曾接觸過國內的隱形冠軍企業,其資安防護就只有一個防火牆,基本資安防禦落差太大,要利用評估計畫來檢視就不太適合。

但無論如何,當國外已有很多討論的聲浪,而臺灣現在也開始越來越多人關注這件事,對於國內企業組織在資安方面的觀念與規畫上,應是相當有幫助。

特別的是,林彥良認為,依照MITRE的邏輯來看,這樣的評估計畫談的應該不只是單一產品,而是一個產品組合,或許,最後可能演變成不同產品結合的防禦平臺,也就是A+B有更好的效果。

 學界觀點  資安人才培育從三大面向著手,本土資安產品要懂得行銷自己的品牌

關於國內資安業者參與ATT&CK評測這件事,從不同角度來看,不只是本土品牌更容易被國際看見,例如,在這次評測結果之後,美國推出的知名創投機構Momentum資安地圖,也將奧義智慧納入。同時,這似乎也鼓舞了臺灣資安新創,因為突顯了我們的技術能力並不遜色。對此,我們詢問到臺灣科技大學資訊管理系特聘教授吳宗成,以了解現在的資安人才培育上,還能夠造就更多這類型人才嗎?

首先,吳宗成認為,現在國內不管資安新創與老將,都很願意投入人才的培育,這點值得肯定。接著,他從資安人才要有三個層次談起,包括資安技術人才、資安管理人才,以及資安政策人才,他認為,奧義智慧的的三位創辦人就符合這樣的條件。加上他們之前已有研發、創業的實戰經驗,因此,新的產品開發上,已經累積了足夠的經歷。

對於臺灣發展本體資安軟體產品的挑戰,以及需要的條件,吳宗成表示,首先的挑戰,就是國內市場規模不夠大,創業資金取得有難度,如果企業在初期沒有穩健的發展,可能很難撐得下去,更重要的一點,要建立自己的品牌其實不是那麼容易,他從管理角度說明,建立品牌的成本,其實要比技術成本還高。而在國際市場行銷上,他認為品牌行銷更是一大障礙,而語文表達能力是相當大的關鍵,這些都是可以思考的面向。


Advertisement

更多 iThome相關內容