文 / 恆逸資訊 資深講師 唐任威 Vincent

相較以往,今日駭客都具有高度目的性。未達目標,絕不放棄!所以他們的攻擊經年累月;為達目的,不擇手段!因此每一場攻擊都是針對性的客製化攻擊;並且他們攻無不克,因為這些人不只是個中老手,甚至個個好手!而業界則將這類具有高度目的性、目標性的攻擊者稱為 Advanced Persistent Threat (APT;進階持續性威脅)。

以近幾年台灣的資安事件為例,不管是銀行的 ATM 遭駭,或是跨國轉帳系統被入侵,乃至科技廠產線中毒全毀。這些跟上述的 APT 攻擊都脫不了關係。更甚至台廠PC供應鏈被捲入大型的網路攻擊事件成為 APT 攻擊的幫凶,都時有所聞。在這種情形下,你還覺得下個受害者不會是你?

【何謂網路威脅情資?】

想要瞭解敵人可以先透過 WHO、WHY、HOW 這三個層面開始。誰在打?為何打?如何打?待釐清這些問題後,接著就可以訂定出更完善的防護策略保護組織的資訊安全。

分析「誰在打?為何打?」其目的在釐清敵人是誰及其動機為何?乍看下,搞清楚這二件事似乎對組織的資安無益?但其實不然,因為在釐清敵人及動機後。組織可以利用這些情資確認資安風險,避免誤判局勢。並且藉此決定資安投資方向,擬定完整資安防護策略,投入足夠資源進行資安防護,避免蒙受重大損失。透過策略及方向面切入,擬定資安大戰略。

至於分析「如何打?」則是戰術與技術層面。戰術面透過分析敵人的 Tactics, Techniques, and Procedures (TTP;戰術、技術、程序),在資安設備上可以用來設定更精準的規則以偵測、阻擋敵人。而技術面則可以藉由掌握攻擊者的攻擊資源,如惡意主機、域名、程式、病毒行為等。定義出更精準的 Indicators of Compromise (IOC;入侵指標) 有效的清除消滅敵人。

*看完整全文:

https://www.uuu.com.tw/Public/content/Edm/181205_CTIA_ithome.htm

【如何蒐集威脅情資?】

情資的分析首先必須先有資料。而資料的來源則可以分為內部跟外部。

內部資料的蒐集可以是資安事件所留下的記錄。或者各式資安設備、網路服務所產生的日誌。這也是為什麼組織內部如果有導入 SIEM,威脅情資已經先做好一半。

而外部資料的來源就相當多元。如廠商們所發布的各式威脅情資報告、各資安單位 (CERT、ISAC 等) 所發布的資安通報。此外也有專業的威脅情資廠商或開源組織所提供的資料餵送服務及付費或免費的 Threat Intelligence Platform (TIP;威脅情資平台)。這些都是不錯的外部資料來源。

【如何分析威脅情資?】

在蒐集到足夠的資料後,下一步就是分析資料進而產出情報。情報分析跟目的有很大的關聯性。取決於目不同,分析所使用的方法也不一樣。常見分析方式如下:

  • 6Ws (或稱 5W1H) 分析法
    透過釐清「是誰?為何?如何?什麼?那裡?何時?」把網路威脅說清楚,進而擬定行動方針。

  • 獵殺連環分析法 (Cyber Kill Chain)
    此為全球知名軍火製造商洛克希德馬丁公司所提出之網路威脅分析法。透過將網路攻擊行為標準化為七個階段,進而以這七個階段為基礎做為阻殺攻擊者的依據。

  • 入侵分析之鑽石模型 (Diamond Model of Intrusion Analysis)
    以敵人、設施、能力、受害者為基礎元素的分析法。以四個元素為中心軸轉 (pivoting) 出更詳細、完整的網路攻擊活動。是一種深度與廣度兼具的分析方式。

  • 假設競爭分析法 (Analysis of Competing Hypotheses)
    此為美國中情局所提出的情資分析法。藉由明確的證據檢驗各種不同的假設,以此做為決策分析的依據。

【如何運用威脅情資?】

最好的情資一定是「可行動情資 (Actionable Intelligence)」也就是在知道這些資訊後可以採取某些措施,藉此達成一定目的。否則這些情報只會淪為紙上空談,對事情一點幫助也沒有。情資運用與其類型有關。一般可以分為戰略、行動、戰術與技術四類。這四類情資的運用如下:

  • 戰略 (Strategic)
    戰略情資屬高階情資。主要是讓如資安長的高階經理人作為資安防護策略規劃的參考依據。其重點在組織營運所面對的資安風險並採取那些策略可讓組織避免危害。

  • 行動 (Operational)
    行動情資屬中階情資。主要是讓如資安官等專業經理人掌握當下組織所面的資安威脅與攻擊,透過運籌帷幄避免當下這些資安威脅所造成的傷害。

  • 戰術 (Tactical)
    戰術情資屬中低階情資。主要是讓技術人員在第一線可以快速應變與處理發生中的資安威脅。藉由精準掌握駭客手法,有效打擊駭客!

  • 技術 (Technical)
    技術情資屬低階情資。這類情資的週期短、變化快,稍縱即逝。主要用於資安設備,透過自動化部署可以加速威脅的偵測與阻擋。資安設備的規則、設定與各種入侵指標都屬此類型。

*看完整全文:

https://www.uuu.com.tw/Public/content/Edm/181205_CTIA_ithome.htm

更多課程資訊請上https://reurl.cc/lAr56或請來電由專人為您解說(02)25149191#100

也可私訊粉絲團讓專業小編幫你解答!https://www.facebook.com/messages/t/uuuEdu


Advertisement

更多 iThome相關內容