為了更好應對攻擊者的入侵行為,MITRE在2020年8月時,公布全新的主動式防禦知識庫,稱之為MITRE Shield,他們並在2021年3月於RSAC 365線上議程透露更多細節,當中指出他們希望進一步透過Shield的戰略與技術手法,扭轉過去網路攻防都是由攻擊者選擇時間、地點與交戰方式的劣勢。

近年資安防護策略的重點,除了從事前防護,延伸到事中偵測與回應,還有一股趨勢正隱隱成形,就是新世代的主動式防禦概念,而且這樣的防禦策略其實更是要與駭客鬥智。

關於主動式防禦(Active Defense)一詞,很早就有不少人使用,來強調與傳統被動式防禦的不同。

舉例來說,過去的定義中,主動式防禦多半強調主動察覺入侵者,而且不只是偵查,還要進行威脅獵捕,而有些基於國家安全的主動式防禦,會從攔截對方攻擊,進一步變成直接反擊破壞,癱瘓對方的基礎架構,然而這種作法並不普及,多數企業存在的本質是營利,而不是資安攻防,因此所謂的主動式防禦仍是處於兵來將擋的反應式處理。

最近,我們看到新一代主動式防禦戰略被提出,雖然仍是採取在防禦範圍內採取有限的行動,但最特別的一點,就是試圖要改變傳統攻防不對等的問題。

企業過去種種的主動式防禦,往往必須大費周章勞師動眾,駭客卻只是略施小計,針對共通性弱點就能大舉入侵,防不勝防。因此,企業除了基本的防護之外,就是要進一步採取主動的方式,透過偵測技術、資料分析與威脅獵捕等,找出入侵資訊或即將發生的網路攻擊,或是搭配威脅情資識別並瞭解攻擊者是誰,再針對敵人採行預防反制行動。然而,兵不厭詐,防禦端也有讓攻擊端摸不著頭緒的作法,例如欺敵技術,但先前只有少數廠商能提供此類解決方案,最近一年來,協助全球進行多項資安相關研究的美國非營利組織MITRE,有了新的答案,可能是扭轉敵暗我明的新機會。

初探MITRE Shield主動式防禦,試圖打破傳統防守劣勢

這兩三年來,MITRE ATT&CK框架在資安界當紅,之所以受到重視,主要原因,該資安框架彙整了現實世界的駭客組織入侵技術,並建立共通語言,整合成一個攻擊知識庫,讓企業與資安產業都受益,值得關注的是,在2020年8月,MITRE又公布了一個關於主動式防禦(Active Defense)的知識庫,稱之為MITRE Shield,再次成為資安防護的新焦點。

關於Shield知識庫的發展,MITRE指出,這個知識庫首先是從2019年由他們的交戰小組(engagement team)建立,目的是要改善作戰計畫,而當他們在整理這些技術手法清單時,他們有了進一步將之組織結構化的念頭。顯然,之前ATT&CK的經驗讓他們有很好的基礎。

關於這個主動式防禦知識庫的不同,我們可從其定義看出差異。根據MITRE定義的主動式防禦範圍,分為三大構面,從基本的網路防護能力(General Cyber Defense),到網路欺敵(Cyber Deception),以及與攻擊對手的交戰行動(Adversary Engagement)。

在今年3月,MITRE更是闡述了Shield的更多內涵。MITRE資安長William Hill在一場線上專題演講表示,他們一直在尋找主動式防禦的真正含意,但卻發現,不論是在網路或其他領域,都沒有完全適合的一種。

而根據MITRE的經驗,他們在十年前處理一起APT事件時,由於對攻擊者的運作瞭解甚少,因此當時他們做出兩個重要的決定。首先,就是學習與觀察,到了足夠瞭解時可提高機會將攻擊者聚於門外,其次,一旦做到第一步,如果還想繼續學習又不希望本身的系統資料有危害,因此,他們建立了攻擊者交戰計畫(Adversary engagement program),目的是要幫助自己成為更好的防守者。

隨著現在主動式防禦知識庫的建立,MITRE正試圖打破舊的「遊戲規則」。因為,過去的資安攻防,往往是攻擊者可以選擇時間、地點與交戰方式,同時攻擊者也會在入侵時,學習摸索企業組織的防禦環境,而William Hill指出,他們現在想要做的,是挑戰控制對手並開始影響時間、地點與交戰方式,然後盡可能最大化自己的學習,並拒絕對手的學習。顯然,要在防禦範圍內進一步控制對手,主動在內部網路環境與之互動及抗衡,就是MITRE對於主動式防禦的一大重點。

剖析主動式防禦技術手法,已歸納8個戰略與36個不同技法

基本上,MITRE將主動式防禦的各種技術做了歸納,在他們提出的Shield矩陣(matrix)中,仿效了ATT&CK矩陣的設計,由戰略與技術手法構成,將主動式防禦的戰略分成8個階段,包括引導管道(Channel)、收集(Collect)、牽制(Contain)、偵測(Detect)、破壞(Disrupt)、促成(Facilitate)、合法化(Legitimize)、測試(Test)。

而在這8項戰略階段之下,列出了各階段可使用的技術手法,目前MITRE總共歸納了36種。與ATT&CK矩陣相同的是,各項技術手法也可能同時出現在不同戰略階段當中。

值得注意的是,在這36項技術手法中,我們發現有多個與欺敵誘餌有關,包括誘餌帳號、誘餌內容、誘餌帳密、誘餌多樣性、誘餌網路,以及誘餌角色、誘餌過程與誘餌系統等,不僅如此,從戰略階段的初期來看,就是要將敵人引導至特定路徑或特定方向,收集對手的工具、觀察戰術、活動與相關情報,之後再進行一連串的動作。顯然,引導與欺敵是主動式防禦的主軸之一。

同時,MITRE網路智慧戰略長Christina Fowler也提出相關說明,她指出,前五個戰略階段可以適合所有人使用,而在與對手交戰之際,如果你想讓攻擊者留在環境中,以便做到更多的觀察,獲取更多對方攻擊戰術流程(Tactics、Techniques與Procedures,TTP)的資訊,之後可能就會需要使用後面三個戰略階段。

綜合來看,這樣的主動式防禦更是要與入侵的攻擊者鬥智,當對方規避了防禦、進而滲透至內部網路環境之際,幫助企業組織可以更早發現,並在受到入侵時,因應上更具主導權。

在Shield主動式防禦矩陣中,MITRE依據ATT&CK的經驗,將主動式防禦的戰略與技術手法歸納與整理,目前包含8個戰略階段,以及36項技術手法,當中可以看出除了安全控制、隔離、監控與分析,引導與誘餌,更是這個當中的一大焦點。(資料來源:MITRE,iThome整理,2021年3月)

 本文未完,下半篇在這裡 

相關報導請參考


熱門新聞

Advertisement