Anomali Threat Day:威脅情資平台 x 數位智慧 企業網路安全終極升級

網路威脅情資(Cybersecurity Threat Intelligence, CTI)愈來愈重要,如同航海時必須觀測風向海象般重要,因此在「威脅情資平台 x 數位智慧:企業網路安全終極升級」研討會中邀集全球知名資安威脅情資平台商Anomali,以及深網或暗網情資商Flashpoint,向國內企業分享如何善用資安威脅情資達更主動防護之效。

攻擊在變資安防護也要變。過去的資安屬被動式,需有病毒碼才能偵測危害;認為定期弱點掃描就可確保安全。然近年來資安已化被動為主動,力求事先防範,如不待病毒碼更新,面對未知的威脅也能依據其行為加以捕捉隔離;在軟體自動弱掃後也委請專家進行滲透測試、紅隊演練,以掃除自建防護的死角盲點;類似理念的資安措施也包含防止內賊的使用者行為分析,及觀測外部威脅風向的資安情資訂閱。

是的!網路威脅情資(Cybersecurity Threat Intelligence, CTI)愈來愈重要,如同航海時必須觀測風向海象般重要。鑑於此,衡崴科技特舉辦「威脅情資平台 x 數位智慧:企業網路安全終極升級」研討會,會中邀集全球知名資安威脅情資平台商Anomali,以及深網或暗網情資商Flashpoint,向國內企業分享如何善用資安威脅情資達更主動防護之效。

資安威脅趨勢及防護策略

「資安威脅的增高是全球趨勢!」行政院資安會報技術服務中心主任吳啟文引用世界經濟論壇2019年全球風險調查報告,無論就風險的衝擊影響力或風險發生的或然率來看,資安威脅都在增高中。

行政院資安會報技術服務中心主任吳啟文

其中「網路攻擊」在近兩年已排名至全球第6、7位的高衝擊度,或然率方面也居第3、5位置,另外「關鍵資訊基礎設施的破壞」過往未入列前十大衝擊,然今(2019)年已進入第8位,至於「資料詐欺與竊盜」也在近兩年均居第4位的高或然率。

而綜觀全球資安趨勢可發現威脅持續多元化發展,包含進階持續威脅(APT)、分散式阻斷服務(DDoS)、物聯網(IoT)弱點遭利用、關鍵資訊基礎設施(CII)遭受攻擊,其他也包含網路與經濟犯罪影響電子商務與金融運作,或資訊資安領域的供應商持續遭駭,危及供應鏈安全等等。

威脅不僅多元且危害更深,例如DDoS已達1.35Tbps高的空前尖峰流量,「少爺殭屍網路」感染20多萬台路由器、6,000多個行動裝置或智利最大銀行Banco de Chile遭惡意程式入侵,導致9,000台員工電腦與500台伺服器無法開機,甚被駭客趁機利用SWIFT網路盜轉銀行錢款。

在威脅更廣更深的趨勢下機構與企業當如何落實防護,吳啟文對此提出建言:首先必須蒐集資安威脅資訊,如技服中心即為我國政府單位建立「縱深情蒐」,包含在政府機關內的使用者端情蒐、政府網路間的情蒐,以及在Internet上運用蜜網(Honeypot)誘捕情蒐等。

接著技服中心逐步建立起政府的「資安情資分享架構」,架構分為三層,基層為關鍵基礎設施的提供者或地方政府,中層為領域/區域(六都),上層為國家層級的統籌。在分工方面基層回報監控情資以及自領域/區域曾取得分享的情資,中層負責情資收容、彙整、加值、分析等工作,上層則為總體主責。

進一步的,技服中心期望讓情資價值提昇、情資活動擴大,除了完成國內八大關鍵基礎設施的防護外也構築六都資安區域的聯防,在完備公部門的防護後,也將以「公司協同與合作」模式,與資安組織、研究機構或軟硬體開發業者進行情資交流,最終更要促成與APECTEL、Meridian等國外機構間的國際合作交流。

全球資安威脅情資趨勢分析

「資安威脅已隨處可見」Anomali亞太區首席架構師Damian Skeeles表示,單以今年7月而言就有數起重大事件,如曼哈頓因資安攻擊大停電4萬人受影響(CNBC報導);美國政府人力服務部門因資安攻擊重大停電影響人民報稅政府出面道歉(COMPUTERWORLD);知名CDN服務大廠Cloudflare因軟體瑕疵導致全球大當機(CRN);以及臉書因網路攻擊大當機(FORTUNE)。

Anomali亞太區首席架構師Damian Skeeles

在災情頻傳下,Damian Skeeles進一步分享受害者類型,依據美國行動通訊營運商Verizon於2019年發布的調查報告,有高達43%的受害者屬中小企業,其次為公部門約16%,醫療亦佔15%,至於金融業則為10%。

而這些資安攻擊是基於何種動機發起的?對此有高達71%著眼於財務收益(Financial Gain),另有25%則為間諜活動(Espionage),且其中有39%為有組織性的犯罪(Organised Crime),23%為國家或與國家關連的活動。此顯示網路攻擊已更惡化,過往單純的個人理念宣揚已少,取而代之的是組織性犯罪、財務目標、國安情治活動等。

至於這些攻擊者是透過何種手法實現攻擊的呢?調查顯示有過半約52%為「直接駭入,Hacking」,次之有三分之一為社交攻擊33%,惡意軟體亦接近三成約28%,其他相對為少,包含系統或軟體錯誤(Error)21%,誤用(Misuse)約15%,而實體入侵則只有4%。

另外駭客是如何擴大入侵?調查顯示憑證的竊取為最多;其次為命令與控制(Command & Control, C2或CnC),例如透過網路釣魚方式將惡意程式送入系統內;其三是運用系統的弱點漏洞;最後才是暴力攻擊法。值得注意的是

因應頻繁的資安威脅,資安威脅情資將是主要因應方案之一,依據今年二月Ponemon研究所發布的「The Value of Threat Intelligence」調查所言,85%認為威脅情資對資安防護相當重要,43%認為能夠有效運用威脅情資。

有鑑於此企業與機構當建構威脅情資平台,將平台融入資安整體防禦中,而根據Gartner資安專家Anton Chuvakin所言,一個好的資安情資平台須具備擴展延伸性,可支援即時分析與歷史分析,可支援工作流程,以及堅實的整合性。

最後Damian Skeeles歸結四點結論,一是進階持續威脅在今日整體威脅占有極高比重;二是多數駭客使用的駭入手法其實都可以透過資安情資威脅找到防範因應之道;三是低於一半的資安威脅情資使用者認為他們做的防護措施很有效;四是有些人認為別連上網路是最好最有效的資安防護手法(best solution),但其實不真確,如果任何東西都以「不連網最安全」的方式看待,那麼大家可以早早下班回家不需要工作。

威脅情資平台提升早期預警「戰力」

「什麼是情資?各位過去聽過某個體育主播說好想棒球贏韓國,對此我們必須收集各種韓國隊的資訊,這就是種情資。」Anomali亞太區資深業務經理林岳樺用生活接觸層面的譬喻來點明何謂情資。

Anomali亞太區資深業務經理林岳樺

近年來許多企業用戶已接觸過資安威脅情資,但仍有可能對情資有不同程度的認知,情資的意涵包含遭受何種攻擊、受攻擊會產生何種影響、此攻擊當如何偵測與因應等。

情資在技術層面上又有不同的類型,例如進階持續威脅、勒索軟體、垃圾信、網路釣魚、漏洞弱點、暴力攻擊等,這些情資對應至資訊管理、資安防護時會以IP、MD5、URL、檔案名稱、註冊金鑰等方式表達。

情資在呈現上也分成兩大類型,一類是IOC威脅指標,這類型的情資是供機器閱讀的,即是將情資傳遞到硬體防火牆或相關的資安防護設備內,直接以清單、政策方式落實防備;另一類是Threat Model威脅模型,這類型是供資安長、資訊相關人員閱讀的,讓人員了解新的威脅樣態、攻擊特性,進而決議在企業環境中加強某類型或某環節的防護能力。兩種類型的情資對企業而言都是重要的。

情資除了新資訊動向外另一個重點為情資平台,Anomali除自身具有情資外亦為情資平台經營者,因此期望與廣大情資提供者合作,包含資安服務商、資安設備商等,不同類型的資安業者所擅長的情資也不同,資安服務商多提供人員閱讀的新威脅樣態,資安設備商則多為IP、URL,至於端點防護業者則多為MD5、檔案名稱等。

當企業意識到情資的重要性後,當如何評估情資呢?林岳樺首先建議評估來源的廣度與深度,如情資類型是否廣?情資數目是否夠多?情資是否具閱讀性?是否完整等等。其次要檢驗情資的精準度,即情資可不可信?情資是否具時效性?情資是否已精確分類?以及情資的嚴重度、有效度等等。其三也要衡量情資的應用度,若不能有效運用情資亦不能視為好情資。

情資另一個重要的原因也在於,過往的資安防護著重於事中、事後工作,事中即所謂資安事件發生階段,企業積極建構的SIEM、SOC等即是在於資安偵測與監控,而事後則在於應變、修補等工作。然如此卻輕忽了事前的預警,而情資正是事前的預警工作。

至此很明顯的,若期望達到全程與全面性的防禦企業當加強事前工作,即是訂閱情資與使用情資平台,並與事中偵測、事後應變等緊密結合,方能使整體資安獲得提昇。

地下網路者是怎麼威脅台灣?趨勢以及對策

「掌握深網、暗網的威脅情資,企業在資安決策才有優勢,才能保護自身以及客戶。」Flashpoint亞太區情資資深分析師Aaron Shraberg點明深網、暗網(Deep Web & Dark Web, DDW)情資的重要性。

Flashpoint亞太區情資資深分析師Aaron Shraberg

所謂的深網是指Internet上沒有被標準搜尋引擎索引到,以及有密碼保護或動態產生頁面的加密網路;而所謂的暗網則是在Internet有一部份是必須透過特定軟體如Tor瀏覽器才能存取的區域,在暗網中用戶與營運者是以混淆、隱密身分的方式活動。對企業而言有必要了解DDW的動向,從而訂立合適的防護策略與反制措施,以及相關的因應計畫。

Aaron Shraberg進一步分享Flashpoint對中文區域DDW的特性觀察,與其他區域的DDW相比,中文區域的DDW對非法活動論壇的依賴度較低,但卻有濫用合法服務的情形,而論壇通常白帽、灰帽駭客所用而不是黑帽駭客。

而在小型的Tor社群中訊息多半使用簡體中文,也有部分使用繁體中文。前者推測是來自海外的中國人,或是來自中國的移民;而後者推估是來自於使用繁體中文的地區如台灣與香港。

另外大家會好奇DDW存在哪些風險與威脅?關於此主要有七類非法資訊或服務交易,包含販售帳號密碼與資料庫、信用卡詐偽、網路釣魚與釣魚網站、分散式阻絕服務、勒索病毒、武器與毒品,甚至是假新聞等。

Flashpoint不僅觀察到現況也洞察到DDW的趨勢,例如DDW中的論壇正逐漸轉移到代理伺服器網路與聊天服務上,或從事網路犯罪活動的中文社群正快速增長,或有更多威脅勒索行為者要求以加密貨幣支付費用,其他相關動向也包含在英語、俄語的地下網路群組中有愈來愈多的中文用戶,或網路犯罪份子開始在不同群中遊走,或有電腦駭客集結共同討論研究新的入侵技術。

面對DDW的風險威脅Aaron Shraber也提出對策建議,首先要掌握DDW情資,從情資中了解自身可能面臨的威脅,針對威脅進行關連查詢,而後對查詢結果進一步精練處理。另外要運用DDW情資設定自動告警與專屬的分析支援,並針對威脅投入研究心力,包含人員編制、工作項等,透過研究探索未知的威脅、識別新型威脅。

歸結而言,結合資料、平台、分析三者建立起商業風險情報(Business Risk Intelligence, BRI),以此為核心發展防護策略與活動,逐漸的企業與機構便能擬定出一套靈活的最佳策略,並持續因應資訊環境而改變,將DDW風險威脅降至最低。

情資平台全球成功經驗分享及實機展示

在了解資安威脅情資對資安防護的重要性後,更重要的是實體操作體驗威脅情資平台(Threat Intelligence Platform, TIP),對此Anomali亞太區首席顧問槌屋砂幾(Saki Tsuchiya)親自操作示範Anomali的情資平台ThreatStream(亦是Anomali公司的原名,簡稱TS)及威脅分析平台Anomali Enterprise(AE)是如何建構與運作。

Anomali亞太區首席顧問槌屋砂幾(Saki Tsuchiya)

首先以TS為中心,由其連結與收容各種威脅情資來源,來源可能來自公開來源情報(OSINT)或Flashpoint等資安業者,情資傳遞的格式與協定則為STIX、TAXI,或是以PDF格式、電子信件傳遞來的私人情報,或是來自特定的信任圈,例如在地情報、特定產業界的情報等。

在收集到情報後,進一步將對情報進行驗證(data validation),有些謊報或誤報在這個階段將被剔除,此稱之為降低雜音/雜訊(noise reduction),而後將正確的情資進行正規化(normalize),形成URL、IP、網址等制式格式。接著情資將透過動態自動化評量機制給予評分評級,以及透過其他來源如VirusTotal、RiskIQ等,對情資進行補充使其更完整。

其次TS會與資安產業鏈的上下游業者廣泛合作,如ArcSight、FireEye、IBM、Splunk、Symantec、Palo Alto、TANIUM、Carbon Black等,使平台情報與機能更全面。其三TS也與AE協同運作,由AE介接企業內的網路、安全事件管理系統(Security Information Event Management, SIEM)以及安全調度暨自動化反應系統(Security Orchestration, Automation and Response, SOAR)等,使資安威脅情資確實融入企業資安防護系統與環境中。

槌屋砂幾舉例,若今日獲得一個惡意網址的情報,Anomali會以此再進行相關擴展,例如自動去查詢Whois、Passive DNS、malwr、VirusTotal等,確認是否其他來源也認定該網址具有惡意,此稱為Indicator Expansion,是Anomali特有的情資處理因應方式。

在確認網址具惡意性後,則會知會與平台整合的SIEM,由SIEM於企業資訊環境內進行搜尋比對,確認企業內是否已有某端點(伺服器或終端裝置)存取瀏覽該惡意網址,從而加強防範戒備。而如果企業自身也捕捉、掌握到一些威脅情報,也可以透過簡單直覺的方式上傳通報給TS。

除此之外,Anomali也提供Anomali Integrator以整合企業內的防火牆、入侵偵測系統等防護硬體,並有Anomali Cloud雲端服務支援呼應,Anomali Cloud雲端服務除了有前述的信任圈、開放原碼等情資來源外,Anomali自身亦有一組資安研究團隊,即Anomali Labs,能透過雲端提供各種技術支援服務。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416