假日若你到熱鬧的信義區廣場或淡水捷運站逛一逛,很容易會遇上一、兩個在街頭表演的魔術師,環繞著一圈觀眾,一邊驚訝於精彩的表演,另一邊又瞪大眼睛想找出破綻,是道具?手法?還是人群有內應?魔術師當然是拼命掩飾,尤其是自創的魔術,連私底下對朋友都秘而不宣。為什麼?江湖一點訣,講破就不稀奇!就像事先知道鋸床內藏了2個人,就不會覺得鋸刀斷人魔術有那麼神奇了。

過去幾年猖獗的APT攻擊(Advanced Persistent Threat,進階持續性攻擊),也很像是令人眼花繚亂的魔術表演,層出不窮的漏洞和弱點、不斷演化的入侵工具和惡意程式,甚至組合多種手法,社交工程、偽裝正常程式、釣魚信件誘騙、長期潛伏觀察、暗中蒐羅弱點後,才發動一擊,過去習慣只靠一套多層式縱深防禦作法的企業,很難有效來因應「似乎是不可預知」的APT攻擊。

許多資安公司都盡可能地累積各種攻擊災情,建立起一個又一個的API攻擊案例,試圖從中歸納經驗。

但資安威脅的影響範圍越來越廣,從天上的人造衛星,地上的汽車,甚至到人體內的心律調整器都可能遭駭,選舉、醫院、銀行、船運的資安事件也時有所聞,萬物聯網後更是萬物皆可能遭駭。

新興攻擊威脅和型態,也和過去有很大的改變,光是2018年,曝光的漏洞數量就多了224%,非檔案型惡意程式更是暴增10倍,1百萬次網路犯罪改用更難追蹤的加密貨幣謀利,7千萬筆雲端資料成了遭竊的新目標。

攻擊手法成千上百種,無法全面防禦,怎麼辦?那就不用「擋」的防護策略,而是改用「阻斷」策略。若能即時阻止,截斷攻擊的進行,讓駭客攻擊無法完成,同樣也能降低影響和避免損失。

但,企業往往難以察覺自己是否遭到駭客覬覦,甚至是否已被潛入,如何了解成千上百種駭客攻擊手法?就是MITRE ATT&CK資安框架要回答的難題。這正是今年全球最大資安會議RSA上最夯的話題,也是今年臺灣資安大會許多講者必談的話題。

這一個由美國非營利研究機構MITRE提出來的資安框架,用來描述駭客攻擊戰術的流程。MITRA分析了歷年來各資安公司公布的網路威脅情資或報告,找出這個ATT&CK框架,將入侵期間駭客使用的戰略,分為了12個階段,包括入侵初期、執行、持續潛伏、權限提升、防禦逃脫、憑證存取、發現、橫向移動、收集、命令與控制、滲出與衝擊,總共歸納出了244項不同的技術手法,進而整理成為一個可以顯示所有階段攻擊手法的矩陣模型(ATT&CK Matrix)。這就是讓企業有機會識破駭客攻擊手法的輔助關鍵。

對企業來說,這是用來判斷駭客攻擊手法、分辨入侵流程的參考地圖,循線可以找出駭客攻擊的下一個目標,及早採取行動。這框架也可以是企業評估自我資安防護能力的檢查表。

對產業而言,資安公司各自都有一套累積多年的駭客攻擊流程框架,但各自有不同的定義,彼此難以溝通或分享情資。這一套「共通」的攻擊手法框架,就像是一個關於駭客攻擊手法的共同語言,就能比較不同攻擊事件的差異,不同資安公司蒐集的情報也能放到同一個敘述架構,相互補齊對於攻擊樣貌的描述。

這個攻擊流程框架還可以用來設計出不同的駭客攻擊情境,作為資安攻防演練的參考,或內部測試資安防護的模擬情境。MITRE去年更發起了一項ATT&CK評估(ATT&CK Evaluations)計畫,要用這個框架來評估資安產品因應駭客攻擊的能力,已有7家業者參與。

MITRE ATT&CK框架將駭客使用的攻擊戰略與技法,系統性地整理成一個知識庫,讓企業更有機會和能力,看穿駭客攻擊手法。

更多MITRE ATT&CK攻擊框架的介紹,請看專題報導「防護APT攻擊的必學戰略:MITRE ATT&CK框架」

專欄作者

熱門新聞

Advertisement