企業該如何掌握網路威脅情資，以有效阻擋惡意攻擊

在這個面臨全球化、網路化的時代，每家企業都會宣稱他們都有做好資安，然而，真是如此嗎？在幾家資安廠商今年發出的報告當中，均顯示了一件驚人的事實，那就是，企業受到攻擊的期間，比很多人所認知的要長久許多。

根據趨勢科技在自家舉辦的雲端資安大會所揭露的數據，臺灣企業受到攻擊的時間，平均是598天，而在高科技產業和政府單位當中，甚至有組織或機構面臨長達11年以上的攻擊。

而在FireEye公司8月底發布的2016年Mandiant M-Trends報告裡面，也有相關的發現。根據他們的統計，對於亞太區的組織與機構而言，察覺到本身遭受攻擊的平均時間是520天，歐非中東區是469天，全球是146天。

不論是單看臺灣，或是與全球相較，如果每家企業都很重視資安，為什麼會有如此漫長的攻擊期間，以及防禦空窗期，而且還大幅落後全球平均值？在商場上，局勢瞬息萬變，差之毫釐，失之千里，更何況這場資安保衛戰，並不只是幾天就能結束，還要比敵我之間的持久耐力，而且，企業光要意識到自己被攻擊，就已足足慢了將近一年半的時間，又該如何打贏？

不論是在傳統的實體世界，或是在當前近乎無邊界的數位世界，若要扭轉這樣的劣勢，我們不能忘記老祖宗的智慧，孫子兵法有云：「知己知彼，百戰不殆」依然適用，能否徹底了解敵人，仍然是致勝關鍵，也因此，有越來越多企業開始關注網路威脅情報（Cyber Threat Intelligence，CTI）的應用，願意投注資源在各種相關情報的收集、整理，不像過去，總是被動地仰賴資安廠商所提供的各種安全資訊公告，隨後才開始著手相關的防護措施。

值得高興的是，臺灣近期也有一些資安社群與IT媒體發起的活動，開始探討CTI，例如，在臺灣駭客年會HITCON 2015上，曾特別介紹了威脅情報平臺（Threat Intelligence Platform）的建立；今年臺灣資訊安全大會上，也有專家主講如何透過網路威脅情報來對抗敵人，大會還特別設立了以「安全情資論壇」為名的一系列議程，顯示臺灣資安界日益重視該領域的發展。

神經超遲鈍！亞太區企業需1年半才發覺遭入侵

在FireEye公司的報告當中，揭露了亞太區企業平均要520天才會發現遭受攻擊，比全球平均值146天高出374天。至於全球平均入侵察覺時間大幅降低，主要是因為納入美國，由於當地資安防護成熟度較高，而且許多組織的資安團隊具備了主動偵查惡意活動的能力。（圖片來源／FireEye）

掌握內外威脅情報不能落於人後，否則就有可乘之機

對許多企業而言，為了做好資安所採取的作法，不外乎透過網路閘道端的防火牆，以及個人電腦端的防毒軟體來預防，雖然資安廠商會持續收集各種威脅情資，也紛紛成立了各種安全實驗室與研究團隊，並將所整理歸納的情報轉為可搭配動作（actionable）的特徵碼，像是記載一連串網路IP位址與網域範圍的黑名單、檔案的雜湊值（Hash）等，再派送、部署到網路設備和個人電腦上，接著這些裝置會透過條件比對的方式，查驗電腦對於網路與檔案存取，一旦偵測到符合條件的情況，就實施阻擋。

這樣的防禦機制行之有年，但如今勢必不能繼續單靠此種作法來因應，企業必須投資足夠的資源來彙整資安威脅情報，之後，才能採取更精準、有效的策略，及早因應，化被動為主動。

在現實世界，也有典型的例子，足以說明企業對於掌握威脅情報的需求。

就如同Team T5公司創辦人暨執行長蔡松廷所觀察到的狀況，他認為，第一銀行ATM遭盜領現金這件事，就是威脅情資沒有確實掌握的最直接範例。因為，類似的事件在國外已經發生過了，但臺灣的企業總認為攻擊者距離很遠，而一直沒警覺，而且就算看到這樣的消息，也認為與己無關，卻沒想到居然就發生在自家公司身上，事到臨頭，或等到別人告知你出事了，企業恐怕來不及因應。

想要避免大禍降臨，其實是可能的。蔡松廷很感慨地說，如果他們有一個團隊或一個人，提早接收到這些訊息，而且在那當下，就立即反應，同時檢視公司內部是否有類似的情況或威脅，並了解該怎麼處理……如果相關的流程和機制建立起來之後，當公司從外部接收到最新的威脅情報，能持續每天消化這些資訊，找出該有的應對處理方式，於是，就能因為知道其他同行曾出現這樣的狀況，而能預先發動清查，及早採取防範措施。

而威脅情資的重點就在這裡——針對攻擊者，換句話說，透過威脅情報所傳達的資訊，將有機會提早察覺對你所屬企業感到興趣的敵人們，進而做好防範和因應。

而對於本身提供網路威脅情報內容的廠商來說，他們當然也體認到這樣的狀況，所以才會經營這方面的服務。

例如，IBM公司旗下的X-Force資安研究團隊，也同時提供網路威脅情報服務，IBM資訊安全事業部協理金天威認為，企業級的資訊安全防護，不該只是個封閉的圍牆保全，CTI是要用來強化既有的資安防禦機制，其實不是單獨存在的服務，而需要和現有防禦機制結合，這是因為網路環境的發達，攻擊事件通常已經不局限在單一區域，攻擊範圍也很少僅發生在單一產業，而且攻擊威脅手法日新月異，隨著安全弱點持續暴露，攻擊方式也會隨時改變，若僅以既有的資安管理機制來因應，攻防之間的差距勢必日漸擴大，若能夠過CTI資訊源來整合，可取得更即時的防護。

近年來也被引進臺灣的CrowdStrike，除了主打次世代端點防護應用之外，本身也提供威脅情報，其經銷商瑞奇數碼公司的技術經理呂建鋒也強調，目前企業對於「威脅情資」的掌握不足，若能透過專業廠商提供來自全球各地的第一手威脅情資，使用者不只能「阻擋」，更能夠「發現」攻擊的來源及手法，同時也能將情資匯入到既有的各式資安解決方案，達到縱深聯防的效果，大幅增加攻擊者的入侵難度。

威脅情報處理的三個階段

對於網路威脅情報的處理，Team T5公司認為，可分為三個階段：資料的彙整（Aggregation）、資訊的分析（Analysis），以及情報所建議的行動（Action）。

其中，資料的彙整包含內外部的事件與情報資料源，形成了樣本、入侵指標等特徵，接著經過進階分析之後，能產生策略、戰術與動作，協助後續的安全規畫、突發事件反應與IT維運之用。（圖片來源／Team T5）

威脅情報的涵蓋範圍廣，企業對於內憂外患都必須掌握

單就內容形式而言，企業在市面上所能取得的威脅情報，大致上，可分為下列兩種：

●      指標式的資料餵送（indicator feeds）：例如，惡意存取行為所使用的IP位址、網域、檔案雜湊值（hash），若自身IT環境發現到與這些資料相符的情況，企業就可以判定相關行為是惡意的。

●      文件式的故事報告：裡面會詳盡描述特定資安威脅事件，有時會透過故事的形式來報告來龍去脈、解析攻擊者身分。

但威脅情資的內容其實不只是這些，應該要提供更有價值的部分，對於現行的威脅情資為何只有資料餵送和報告這兩種形式？

蔡松廷認為，這是最容易被一般組織或單位使用的形式，前者可直接在網路與資安系統上套用，後者能讓企業自行評估相關的影響；另一方面，對於資安廠商而言，很難能完整提供威脅情資，必須投入非常多資源，才有辦法掌握情資，想要調查、持續追蹤攻擊者是困難的，而且攻擊者來自四面八方，橫跨全球，而且有國家資助的攻擊，以及商業間諜、網路犯罪集團、黑客組織等各方人馬，所發動的攻擊行為類型也非常多元，不易做到全盤掌握，更何況，大部分資安廠商本身的主要工作，仍是開發與銷售產品，很難兼顧。

另一個則是對於威脅情資的涵蓋層面太廣，但不同廠商所針對的目標也可能大不相同。事實上，威脅情報又可分為外部與內部，外部情資是指廠商對於攻擊者的追蹤和調查，而內部情資，對於企業來說，就是從他們環境內部收集到的安全性情報。

而目前大家所認知到的威脅情報，大多偏重在外部情資上，也就是由資安廠商所主動追蹤調查的威脅事件，但其實內部情資也不能偏廢，企業必須根據公司內部發生的威脅狀況，進行收集、整理、分析、研究，產生出對本身有用的情資。

若以資安廠商來區分，像是FireEye，以及其所併購的Mandiant和iSIGHT Partners，是針對外部的情資，而像是Splunk、HPE ArcSight、IBM QRadar等安全事件管理系統（SIEM），則是負責內部的情資。

網路安全防護發展成熟度三部曲

經歷多年的發展，資訊安全防護的應用，從早期的已知威脅防護，透過安全管理中心（SOC）來負責，到中期開始結合資訊安全事件處理與應變，涵蓋已知與未知威脅的因應，如今，將跨入更高階的網路防禦中心（Cyber Defense Center），而能否具有威脅情報的收集與分析能力，將是關鍵。（圖片來源／FireEye）

威脅情報的運用不能只看片段行為，更要能識別出敵人身分

廣義來說，威脅情報雖然涵蓋的層面很廣泛，但普遍而言，還是可以從情資內容的屬性予以區分。其中，最常被人引用的分類方式是痛苦金字塔（Pyramid of Pain），這是在2014年，由時任FireEye Mandiant獵殺威脅團隊經理David Bianco所提出的觀點，目的是為了剖析不同情資對於入侵者的影響程度。

在這個分析模型當中，分為6個層級，位於越底部的資料類型，價值越低，最底部是Hash值，接著由下到上，分別是IP位址、網域名稱、網路／主機結構、工具，以及最頂部的戰術、技術和流程（Tactics, Techniques and Procedures，TPP）。

時至今日，我們對於威脅情資的理解需求，又繼續往上擴長，必須掌握比TPP更高階的情報。

在網路威脅價值的金字塔模型當中，臺灣威瑞特資安研究長叢培侃向我們列出了約略不同於上述的排列方式。底層是IP位址、網域名稱、Hash值，往上來看，依序是入侵指標（Indicators of Compromise，IOC），以及戰術、技術和流程（TPP），再上層是任務（Campaign），最頂部的情報是發動攻擊者（Actor）。

其中，所謂的IOC，不只是包含IP位址、網域名稱，還有一些字串、特徵等等，所囊括的情報更多，在這一層裡，也能搭配YARA這個描述惡意程式的語言所寫成的規則，作為入侵指標。

而TPP仍然非常重要，因為如果能掌握到這部份情報，就可以知道這群攻擊者常用的惡意程式類型、網域名稱，以及進駐到被害者電腦的方式。這類情資的價值比較高，因為當中會描述整個手法。

若從多個TTP來看，威脅情報還可以進一步歸納出所謂的任務。入侵者所發動的每一次攻擊，都可認知為出一次任務。若從多個任務來觀察，接著，這些任務就可以被歸納到特定的攻擊發動者，因為，這個對象有可能前前後後發起很多攻擊任務。

經過持續整理和收集，層層歸納，我們就可以將整個攻擊脈絡建立起來，若在其他時空背景遇到類似情況，就可以更快反應。

舉例來說，如果我們在一個單位，發現有攻擊活動用了一些IP位址或網域，或是所用的惡意程式，而且我們又能夠知道這些蹤跡是屬於特定TTP的一部分，接著順藤摸瓜，就能更容易掌握到那些在背後發動攻擊的對象。

這是由下往上追蹤，相反地，如果我們知道這個發起攻擊者所用的戰術，也意識到所屬單位可能會遭遇到跟前述手法相類似的攻擊時，就可以更主動地防禦，不只是針對眼前的事件，也能延伸到未來可能面臨的攻擊活動。也因為知道發動者是誰，我們就可以把這些常用的攻擊手法，一併納入對於攻擊範圍的認知。

及早了解敵人動向，做好防範，從不知不覺進化到先知先覺

有了威脅情報，我們對於企業的內外風險更加了解，但許多資安專家也特別呼籲，這些威脅情資不只是用在資安設備上，進行阻擋和偵測，就一勞永逸，還需要完整「消化」其中的內容。

而當企業因為威脅情資的取得，而能看到威脅事件當中的戰術和手法時，蔡松廷建議，相關部門的主管理應評估長短期衝擊，思考該事件如果發生在所屬單位，該如何規畫預算、設備採買，以及研擬網路部署該怎麼進行；如果是國家層級的威脅情資，當我們發現敵國大幅投資培養網軍，打算發動攻擊，那麼我方該思考因應方式，以及投資更多的資源，策畫如何因應這麼龐大規模的組織型攻擊，也因此，這樣的情資，將有助於政府或企業高層及早提出對策，以便在接下來三年、五年當中，開始著手準備、實施。

簡而言之，對於威脅情報的使用，重點在於「了解你的敵人」。既然你的敵人是「人」，而且面對是一群人，就很難用一成不變的方式來防禦。

每家公司在制定資安策略時，應該要花足夠的資源在這上面。而獲取和消化情報的方式，也很簡單，公司可以安排專人，每天從公開資料去找對公司有威脅的新聞，並且定期安排會議來討論，集思廣益，探討這些事情若發生在我們身上時，該怎麼因應，企業不能再把這些責任推卸給資安廠商來代為處理。

 相關報導  企業資安進入情報戰時代