【資安人才大聲公】讓前輩親口告訴你

「駭客一定會找防禦最弱的地方進行攻擊,所以我們做資安事件調查,一定會從最脆弱的地方優先查起。」曾經協助調查局偵辦第一銀行盜領案,現為數聯資安資安鑑識暨服務發展部資深技術顧問周哲賢,以自己10年資安事件應變(Incident Response,IR)的經驗,分享從事IR工作的方法與挑戰。他更以這句話點出資安防護的重要性,因為駭客不會費力攻打防護面向完整的企業,一定會挑防禦力弱的企業下手。

IR分三級應變,分層監控與管理資安事件

對於想要從事IR工作的資安新鮮人,周哲賢簡單介紹IR的工作範疇。若以SOC監控服務來說,可以分為Tier1、Tier2、Tier3三個層級,Tier1的任務,負責7天24小時全天候監控,通常由年輕資安人員輪流值班,當發生資安攻擊事件時,在第一線即時通報、判讀、進行基本調查與處置;Tier2的任務,則是負責處理Tier1無法處置的案件,由較為資深的資安工程師執行進階調查。

Tier3的層級就更高了,負責Tier2仍無法解決的事件,主要進行進階事件分析、事故處理(Emergency Responder Services,ERS)、數位鑑識與惡意程式調查。周哲賢指出,除了廠商端提供SOC服務,企業也可能自建SOC監控團隊,但因企業內的規模通常較小,Tier2與Tier3可能直接劃分為同一個團隊。

IR工作先從弱點查起,更可遵循4大經驗法則

要從事IR分析的人,必須熟諳各種駭客攻擊的手法,周哲賢以他過去從事IR的經驗來歸納,駭客入侵企業的管道大致有5個途徑,一是透過社交工程中的電子郵件釣魚手法,騙取使用者帳密來駭入系統,二是從企業網站駭入,三是使用者錯誤行為所致,四是從供應鏈或廠區電腦來入侵,五則是從分公司、子公司或雲端入侵,而調查駭客的入侵管道,就是資安事件調查的關鍵任務。

「我們做資安事件調查,在沒有線索的情況下,一定會從最弱的地方開始查起,」周哲賢表示,就像知名Twitter帳號SunTzuCyber提到:「駭客攻擊的戰術就像水,一定會找阻力最小的地方流去。」循著駭客從弱點開始攻擊的角度思考,資安事件調查也得從企業防禦的弱點找起。

周哲賢也從自己的經驗中,歸納出4大資安事件應處的通用法則,「當法則用應用在不同的情境可能會變形,但是核心的概念不會變。」

其一,是時間點及軸(Timeline Analysis),這是在資安事件發生後,先調查入侵過程的時間軸,比如在哪些時間點、發生什麼情形,將事件串連成線,就能得到較完整的攻擊過程,並快速判定哪些那些資訊可以用於後續分析。「因為客戶要的不是單點事件,而是一個完整的故事。」周哲賢表示。

其二,是透過關鍵字(Signature)來搜尋。周哲賢指出,關鍵字的使用目的,是要讓IR人員在進行資安事件應變時,能利用關鍵字快速搜尋與過濾,在幾十萬個Log中找出可疑的記錄,再進行Log的前後比對或分析。因此,關鍵字的定義很廣,包括設備的規則與各種系統的紀錄檔,或是各種攻擊手法的英文單字等,且IR人員需靠經驗積累,記下常出現的關鍵字,才能更快找出資安攻擊的源頭。

其三,則是透過統計及頻率分析,來檢視企業IT各項紀錄或數值的頻率,找出不尋常的資安攻擊行為。周哲賢解釋,這個做法的核心概念,是透過統計分析的方法,找出各系統運作的平均值,以此代表正常狀態,並透過同樣的方法,統計資安事件發生時各系統的數值,若超過平均值就能判定為異常,來找出被入侵的系統源頭。

最後,則是要看資安攻擊的方向性,是由外而內(inbound)或是由內而外(outbound),因為方向性決定了後續分析的方向。比如若攻擊是由外向內,代表有人在攻擊用戶的網站,但如果攻擊是由內而外,那就可以假設,用戶IT系統可能被駭客植入後門程式,所以產生了內而外的連線,「方向性可以確立調查方向。」周哲賢說。

周哲賢更幽默的比喻,這四大經驗法則就好比通靈法則,因為企業在遇到資安事件時,提供的線索可能非常少,比如只感受到電腦執行速度變慢等情況,但執行事件調查任務,就是得從蛛絲馬跡找出駭客攻擊的路徑,才能更進一步協助企業防範。

親身經驗分享IR工作的挑戰與面臨情境

除了技術面的經驗分享,周哲賢也從工作現場實務,來點出臺灣資安事件應變工作的挑戰。IR工作常是政府單位委託案的其中一項,他指出,政府訂定的SOC監控共同供應契約,對於資安服務的採購也有一套規範,根據機關客戶搜集的Log流量分為低、中、高三級,機關可向廠商提出不同次數的事件處理服務要求,比如收到的Log屬於低流量的分級,可以向廠商提出3次IR服務。

然而,這裡以「次數」來提出IR要求,他認為,其實不夠精準,因為契約沒有針對「一次」IR處理服務,定義相應的範圍與目標數,這就導致,廠商可能得大範圍盤查數十臺電腦,但都只計算到「一次」IR服務中。周哲賢指出,一般業界對IR的計價方式,是以電腦臺數來計算,這類定義不精確的契約,可能讓廠商承攬超過原先收費的工作量。

所以,「在臺灣從事藍隊IR,非常心酸,客戶會對你高度期望,但是,臺灣資安工程師的薪水卻很廉價,這是IR工作的現實。」周哲賢感慨地說。

另一個挑戰則來自分析資料取得不易的考驗。駭客發動攻擊後,可能會採取滅證的行為,讓IR工作者無法找出完整的入侵源頭,這些方法包括植入勒索軟體、毀掉開機的磁區、清除Log檔等。而且,不只是駭客,周哲賢指出,受害主機的管理員,也可能擔心自己被究責,或為了讓IT快速恢復運作,就把Log檔刪除、重灌系統,造成事件應變處理上的挑戰。

甚至,「有些管理員,為了繼續維持營運,遭駭後就重灌系統,但是,這樣會找不到事件發生的根本原因,系統漏洞也就無法修補,下一次還是可能發生同樣的資安事件。」周哲賢呼籲,IR不是萬能,沒有留存證據,就無法找出駭客入侵源頭,企業也得有正確的資安觀念來協助IR工作。

除了IR產業面臨的挑戰,周哲賢也舉出自己IR工作的實際情形。比如在客戶受到攻擊後,由於攻擊事件牽涉到企業IT、IT設備商、資安廠商等多方角色,容易發生責任歸屬不明確,有沒有人願意承擔責任的問題。因此,IR工作中,除了在技術上追查駭客入侵源頭,有時也得擔任勸架的角色,在不同立場的涉事角色之進行周旋。

另一個情境則是,有些客戶求好心切會不斷插手IR工作內容,反而影響了IR調查的進行。又或是企業在遭遇資安事件後,讓IR廠商用類似競爭的方式,將案子交給最快著手調查的廠商,而非選擇最合適的廠商來提供服務。這些都是在臺灣從事IR工作需要適應的情況。

IR工作還有一些辛苦之處,周哲賢指出,一是得承擔一定的心理壓力,其二是得克服時差問題,因為駭客不會只在白天發動攻擊,有時半夜一通電話,就得快速趕往因應,「所以在臺灣做IR,要有很健康的身心理狀態。」

針對該如何增強自身的IR能力?周哲賢建議,參加研討會與閱讀分析報告是關鍵,同時,他也提供了一份Github上的學習資源 APT_CyberCriminal_Campagin_Collections,讓資安人才都能利用資源學習,來不斷精進自己。

2021/06/24更正啟示:內文提到採購規範中,依據不同流量攻擊事件來提出服務需求的描述有誤,應該是依據機關客戶蒐集的Log流量分級,來提出不同次數的IR需求。內文已更正。

相關報導

熱門新聞

Advertisement