Anomali Threat Day：威脅情資平台 x 數位智慧 企業網路安全終極升級

攻擊在變資安防護也要變。過去的資安屬被動式，需有病毒碼才能偵測危害；認為定期弱點掃描就可確保安全。然近年來資安已化被動為主動，力求事先防範，如不待病毒碼更新，面對未知的威脅也能依據其行為加以捕捉隔離；在軟體自動弱掃後也委請專家進行滲透測試、紅隊演練，以掃除自建防護的死角盲點；類似理念的資安措施也包含防止內賊的使用者行為分析，及觀測外部威脅風向的資安情資訂閱。

是的！網路威脅情資 (Cybersecurity Threat Intelligence, CTI) 愈來愈重要，如同航海時必須觀測風向海象般重要。鑑於此，衡崴科技特舉辦「威脅情資平台 x 數位智慧：企業網路安全終極升級」研討會，會中邀集全球知名資安威脅情資平台商 Anomali，以及深網或暗網情資商 Flashpoint，向國內企業分享如何善用資安威脅情資達更主動防護之效。

資安威脅趨勢及防護策略

「資安威脅的增高是全球趨勢！」行政院資安會報技術服務中心主任吳啟文引用世界經濟論壇 2019 年全球風險調查報告，無論就風險的衝擊影響力或風險發生的或然率來看，資安威脅都在增高中。

其中「網路攻擊」在近兩年已排名至全球第 6、7 位的高衝擊度，或然率方面也居第 3、5 位置，另外「關鍵資訊基礎設施的破壞」過往未入列前十大衝擊，然今 (2019) 年已進入第 8 位，至於「資料詐欺與竊盜」也在近兩年均居第 4 位的高或然率。

而綜觀全球資安趨勢可發現威脅持續多元化發展，包含進階持續威脅 (APT)、分散式阻斷服務 (DDoS)、物聯網 (IoT) 弱點遭利用、關鍵資訊基礎設施 (CII) 遭受攻擊，其他也包含網路與經濟犯罪影響電子商務與金融運作，或資訊資安領域的供應商持續遭駭，危及供應鏈安全等等。

威脅不僅多元且危害更深，例如 DDoS 已達 1.35Tbps 高的空前尖峰流量，「少爺殭屍網路」感染 20 多萬台路由器、6,000 多個行動裝置或智利最大銀行 Banco de Chile 遭惡意程式入侵，導致 9,000 台員工電腦與 500 台伺服器無法開機，甚被駭客趁機利用 SWIFT 網路盜轉銀行錢款。

在威脅更廣更深的趨勢下機構與企業當如何落實防護，吳啟文對此提出建言：首先必須蒐集資安威脅資訊，如技服中心即為我國政府單位建立「縱深情蒐」，包含在政府機關內的使用者端情蒐、政府網路間的情蒐，以及在 Internet 上運用蜜網 (Honeypot) 誘捕情蒐等。

接著技服中心逐步建立起政府的「資安情資分享架構」，架構分為三層，基層為關鍵基礎設施的提供者或地方政府，中層為領域/區域（六都），上層為國家層級的統籌。在分工方面基層回報監控情資以及自領域/區域曾取得分享的情資，中層負責情資收容、彙整、加值、分析等工作，上層則為總體主責。

進一步的，技服中心期望讓情資價值提昇、情資活動擴大，除了完成國內八大關鍵基礎設施的防護外也構築六都資安區域的聯防，在完備公部門的防護後，也將以「公司協同與合作」模式，與資安組織、研究機構或軟硬體開發業者進行情資交流，最終更要促成與 APECTEL、Meridian 等國外機構間的國際合作交流。

全球資安威脅情資趨勢分析

「資安威脅已隨處可見」Anomali 亞太區首席架構師 Damian Skeeles 表示，單以今年 7 月而言就有數起重大事件，如曼哈頓因資安攻擊大停電 4 萬人受影響（CNBC 報導）；美國政府人力服務部門因資安攻擊重大停電影響人民報稅政府出面道歉 (COMPUTERWORLD)；知名 CDN 服務大廠 Cloudflare 因軟體瑕疵導致全球大當機 (CRN)；以及臉書因網路攻擊大當機 (FORTUNE)。

在災情頻傳下，Damian Skeeles 進一步分享受害者類型，依據美國行動通訊營運商 Verizon 於 2019 年發布的調查報告，有高達 43% 的受害者屬中小企業，其次為公部門約 16%，醫療亦佔 15%，至於金融業則為 10%。

而這些資安攻擊是基於何種動機發起的？對此有高達 71% 著眼於財務收益 (Financial Gain)，另有 25% 則為間諜活動 (Espionage)，且其中有 39% 為有組織性的犯罪 (Organised Crime)，23% 為國家或與國家關連的活動。此顯示網路攻擊已更惡化，過往單純的個人理念宣揚已少，取而代之的是組織性犯罪、財務目標、國安情治活動等。

至於這些攻擊者是透過何種手法實現攻擊的呢？調查顯示有過半約 52% 為「直接駭入，Hacking」，次之有三分之一為社交攻擊 33%，惡意軟體亦接近三成約 28%，其他相對為少，包含系統或軟體錯誤 (Error)21%，誤用 (Misuse) 約 15%，而實體入侵則只有 4%。

另外駭客是如何擴大入侵？調查顯示憑證的竊取為最多；其次為命令與控制（Command & Control, C2 或 CnC），例如透過網路釣魚方式將惡意程式送入系統內；其三是運用系統的弱點漏洞；最後才是暴力攻擊法。值得注意的是

因應頻繁的資安威脅，資安威脅情資將是主要因應方案之一，依據今年二月 Ponemon 研究所發布的「The Value of Threat Intelligence」調查所言，85% 認為威脅情資對資安防護相當重要，43% 認為能夠有效運用威脅情資。

有鑑於此企業與機構當建構威脅情資平台，將平台融入資安整體防禦中，而根據 Gartner 資安專家 Anton Chuvakin 所言，一個好的資安情資平台須具備擴展延伸性，可支援即時分析與歷史分析，可支援工作流程，以及堅實的整合性。

最後 Damian Skeeles 歸結四點結論，一是進階持續威脅在今日整體威脅占有極高比重；二是多數駭客使用的駭入手法其實都可以透過資安情資威脅找到防範因應之道；三是低於一半的資安威脅情資使用者認為他們做的防護措施很有效；四是有些人認為別連上網路是最好最有效的資安防護手法 (best solution)，但其實不真確，如果任何東西都以「不連網最安全」的方式看待，那麼大家可以早早下班回家不需要工作。

威脅情資平台提升早期預警「戰力」

「什麼是情資？各位過去聽過某個體育主播說好想棒球贏韓國，對此我們必須收集各種韓國隊的資訊，這就是種情資。」Anomali 亞太區資深業務經理林岳樺用生活接觸層面的譬喻來點明何謂情資。

近年來許多企業用戶已接觸過資安威脅情資，但仍有可能對情資有不同程度的認知，情資的意涵包含遭受何種攻擊、受攻擊會產生何種影響、此攻擊當如何偵測與因應等。

情資在技術層面上又有不同的類型，例如進階持續威脅、勒索軟體、垃圾信、網路釣魚、漏洞弱點、暴力攻擊等，這些情資對應至資訊管理、資安防護時會以 IP、MD5、URL、檔案名稱、註冊金鑰等方式表達。

情資在呈現上也分成兩大類型，一類是 IOC 威脅指標，這類型的情資是供機器閱讀的，即是將情資傳遞到硬體防火牆或相關的資安防護設備內，直接以清單、政策方式落實防備；另一類是 Threat Model 威脅模型，這類型是供資安長、資訊相關人員閱讀的，讓人員了解新的威脅樣態、攻擊特性，進而決議在企業環境中加強某類型或某環節的防護能力。兩種類型的情資對企業而言都是重要的。

情資除了新資訊動向外另一個重點為情資平台，Anomali 除自身具有情資外亦為情資平台經營者，因此期望與廣大情資提供者合作，包含資安服務商、資安設備商等，不同類型的資安業者所擅長的情資也不同，資安服務商多提供人員閱讀的新威脅樣態，資安設備商則多為 IP、URL，至於端點防護業者則多為 MD5、檔案名稱等。

當企業意識到情資的重要性後，當如何評估情資呢？林岳樺首先建議評估來源的廣度與深度，如情資類型是否廣？情資數目是否夠多？情資是否具閱讀性？是否完整等等。其次要檢驗情資的精準度，即情資可不可信？情資是否具時效性？情資是否已精確分類？以及情資的嚴重度、有效度等等。其三也要衡量情資的應用度，若不能有效運用情資亦不能視為好情資。

情資另一個重要的原因也在於，過往的資安防護著重於事中、事後工作，事中即所謂資安事件發生階段，企業積極建構的 SIEM、SOC 等即是在於資安偵測與監控，而事後則在於應變、修補等工作。然如此卻輕忽了事前的預警，而情資正是事前的預警工作。

至此很明顯的，若期望達到全程與全面性的防禦企業當加強事前工作，即是訂閱情資與使用情資平台，並與事中偵測、事後應變等緊密結合，方能使整體資安獲得提昇。

地下網路者是怎麼威脅台灣？趨勢以及對策

「掌握深網、暗網的威脅情資，企業在資安決策才有優勢，才能保護自身以及客戶。」Flashpoint 亞太區情資資深分析師 Aaron Shraberg 點明深網、暗網 (Deep Web & Dark Web, DDW) 情資的重要性。

所謂的深網是指 Internet 上沒有被標準搜尋引擎索引到，以及有密碼保護或動態產生頁面的加密網路；而所謂的暗網則是在 Internet 有一部份是必須透過特定軟體如 Tor 瀏覽器才能存取的區域，在暗網中用戶與營運者是以混淆、隱密身分的方式活動。對企業而言有必要了解 DDW 的動向，從而訂立合適的防護策略與反制措施，以及相關的因應計畫。

Aaron Shraberg 進一步分享 Flashpoint 對中文區域 DDW 的特性觀察，與其他區域的 DDW 相比，中文區域的 DDW 對非法活動論壇的依賴度較低，但卻有濫用合法服務的情形，而論壇通常白帽、灰帽駭客所用而不是黑帽駭客。

而在小型的 Tor 社群中訊息多半使用簡體中文，也有部分使用繁體中文。前者推測是來自海外的中國人，或是來自中國的移民；而後者推估是來自於使用繁體中文的地區如台灣與香港。

另外大家會好奇 DDW 存在哪些風險與威脅？關於此主要有七類非法資訊或服務交易，包含販售帳號密碼與資料庫、信用卡詐偽、網路釣魚與釣魚網站、分散式阻絕服務、勒索病毒、武器與毒品，甚至是假新聞等。

Flashpoint 不僅觀察到現況也洞察到 DDW 的趨勢，例如 DDW 中的論壇正逐漸轉移到代理伺服器網路與聊天服務上，或從事網路犯罪活動的中文社群正快速增長，或有更多威脅勒索行為者要求以加密貨幣支付費用，其他相關動向也包含在英語、俄語的地下網路群組中有愈來愈多的中文用戶，或網路犯罪份子開始在不同群中遊走，或有電腦駭客集結共同討論研究新的入侵技術。

面對 DDW 的風險威脅 Aaron Shraber 也提出對策建議，首先要掌握 DDW 情資，從情資中了解自身可能面臨的威脅，針對威脅進行關連查詢，而後對查詢結果進一步精練處理。另外要運用 DDW 情資設定自動告警與專屬的分析支援，並針對威脅投入研究心力，包含人員編制、工作項等，透過研究探索未知的威脅、識別新型威脅。

歸結而言，結合資料、平台、分析三者建立起商業風險情報 (Business Risk Intelligence, BRI)，以此為核心發展防護策略與活動，逐漸的企業與機構便能擬定出一套靈活的最佳策略，並持續因應資訊環境而改變，將 DDW 風險威脅降至最低。

情資平台全球成功經驗分享及實機展示

在了解資安威脅情資對資安防護的重要性後，更重要的是實體操作體驗威脅情資平台 (Threat Intelligence Platform, TIP)，對此 Anomali 亞太區首席顧問槌屋砂幾 (Saki Tsuchiya) 親自操作示範 Anomali 的情資平台 ThreatStream（亦是 Anomali 公司的原名，簡稱 TS）及威脅分析平台 Anomali Enterprise(AE) 是如何建構與運作。

首先以 TS 為中心，由其連結與收容各種威脅情資來源，來源可能來自公開來源情報 (OSINT) 或 Flashpoint 等資安業者，情資傳遞的格式與協定則為 STIX、TAXI，或是以 PDF 格式、電子信件傳遞來的私人情報，或是來自特定的信任圈，例如在地情報、特定產業界的情報等。

在收集到情報後，進一步將對情報進行驗證 (data validation)，有些謊報或誤報在這個階段將被剔除，此稱之為降低雜音/雜訊 (noise reduction)，而後將正確的情資進行正規化 (normalize)，形成 URL、IP、網址等制式格式。接著情資將透過動態自動化評量機制給予評分評級，以及透過其他來源如 VirusTotal、RiskIQ 等，對情資進行補充使其更完整。

其次 TS 會與資安產業鏈的上下游業者廣泛合作，如 ArcSight、FireEye、IBM、Splunk、Symantec、Palo Alto、TANIUM、Carbon Black 等，使平台情報與機能更全面。其三 TS 也與 AE 協同運作，由 AE 介接企業內的網路、安全事件管理系統 (Security Information Event Management, SIEM) 以及安全調度暨自動化反應系統 (Security Orchestration, Automation and Response, SOAR) 等，使資安威脅情資確實融入企業資安防護系統與環境中。

槌屋砂幾舉例，若今日獲得一個惡意網址的情報，Anomali 會以此再進行相關擴展，例如自動去查詢 Whois、Passive DNS、malwr、VirusTotal 等，確認是否其他來源也認定該網址具有惡意，此稱為 Indicator Expansion，是 Anomali 特有的情資處理因應方式。

在確認網址具惡意性後，則會知會與平台整合的 SIEM，由 SIEM 於企業資訊環境內進行搜尋比對，確認企業內是否已有某端點（伺服器或終端裝置）存取瀏覽該惡意網址，從而加強防範戒備。而如果企業自身也捕捉、掌握到一些威脅情報，也可以透過簡單直覺的方式上傳通報給 TS。

除此之外，Anomali 也提供 Anomali Integrator 以整合企業內的防火牆、入侵偵測系統等防護硬體，並有 Anomali Cloud 雲端服務支援呼應，Anomali Cloud 雲端服務除了有前述的信任圈、開放原碼等情資來源外，Anomali 自身亦有一組資安研究團隊，即 Anomali Labs，能透過雲端提供各種技術支援服務。