导航：手游大全 > 动漫 >

面对目标攻击不能只是挨打，Kaspersky倡言新的主动因应之道——

发表于：2024-05-16 作者：admin

编辑最后更新 2024年05月16日，图片来源: 李宗翰摄影这几年以来，锁定目标的网路攻击（Target Attack）因为採用的手法相当独特、複杂、多变，而且所要侵袭的对象相当精準、明确，一直是许多资安防护难以有效阻绝的威胁。而在今年台湾资安大会上，卡巴斯基实验室副首席技术长暨智能情报

图片来源:

李宗翰摄影

这几年以来，锁定目标的网路攻击（Target Attack）因为採用的手法相当独特、複杂、多变，而且所要侵袭的对象相当精準、明确，一直是许多资安防护难以有效阻绝的威胁。

而在今年台湾资安大会上，卡巴斯基实验室副首席技术长暨智能情报服务负责人Sergey Gordeychik，就以此为题，剖析全球各地先前发生过的几次重大目标式攻击事件，并且提出因应之道。

Sergey Gordeychik举出许多实例，首先提到的攻击是日益猖獗、人人闻之色变的勒索软体（Ransomware）。2016年11月底，美国旧金山城市铁路系统（Municipal Transportation Agency，MTA）就遭到勒索软体攻击，而使得票务系统停摆。

除了勒索软体的威胁，Sergey Gordeychik也谈到之前多起锁定目标的攻击事件，例如，瘫痪乌克兰发电厂的BlackEnergy恶意软体，而在这些攻击事件中，有不少例子，并非仅针对单一公司、单一产业，攻击对象範围之广，也超乎想像。

例如，2016年3月，Cobalt黑客组织就针对15个国家、40多间银行的ATM设备，发动攻击以盗领现金，7月时，台湾的第一银行也受到ATM盗领的攻击；2016年，孟加拉中央银行也遭遇多次攻击，他们在环球银行金融电信协会（SWIFT）的全球银行跨行转帐交易服务，受到入侵而损失大笔金钱。

而到了今年，企业遭到目标攻击的事件仍然频传，就像2月发生震惊全球的无档案恶意软体（fileless）大规模侵入事件，更是已经渗透40个国家、超过140家企业，有不少银行、电信业者、政府机关均是受害对象。

为了要妥善防御各种锁定目标的攻击，Sergey Gordeychik说，基本上，可透过预测、预防、侦测、反应的处理流程，并且持续进行。然而，若要更主动、积极地针对这样应接不暇的威胁，Sergey Gordeychik认为，威胁猎捕（Threat Hunting）会是值得各界关注的新作法。这里所提到的威胁猎捕，是指透过所收集到的资料，不断反覆地搜寻，以便找出刻意躲避侦测的进阶威胁。

Sergey Gordeychik表示，除了实施相关的预防机制，以及透过安全维运中心提供的异常监控、警示，获得了一定程度的保护，若能同时搭配威胁猎捕，可望进一步降低残留在环境内的安全风险，对于攻击发动后、防守方侦测到威胁耗费的时间，也能够予以缩减。这种作法还可以用来发现未知型的目标式攻击，以及基于不同的手法、技术与步骤（Tactics, techniques and procedures，TTP）而成的攻击，甚至是非恶意程式型态的攻击（Non-malware Attack）。

至于为何是以「猎捕」这么严重的方式来称呼，Sergey Gordeychik说，威胁是「人」所造成的，重点在于敌人，而非只关注他们所用的工具（恶意软体）。Sergey Gordeychik说的这段话，并非只是他个人主张，主要出自于国际资安组织SANS的一份报告——《The Who, What, Where, When, Why and How of Effective Threat Hunting》。

事实上，威胁猎捕并非只是空谈的理想，Sergey Gordeychik也引用SANS在2016年4月进行的调查，已经有企业或组织导入。在该项调查的496份有效问卷当中，有高达86％的使用单位表示，开始涉入相关的应用，并基于提升察觉安全异常行为的原因来推动，但目前没有正式的威胁猎捕计画的则有4成。

而在进行威胁猎捕时，Sergey Gordeychik认为，首先我们本身必须具备几个条件：提供安全的使用环境、拥有充分的入侵指标（IOC）资讯、能够分析资料，接着，可以进行威胁猎捕的流程，透过模拟情境的侦测、部署，以及实际侦测、证据蒐集、资料分析等步骤，然后再接续上述的模拟情境、实际操作的程序。

在导入威胁猎捕的过程中，Sergey Gordeychik建议可以採用下列4种工具来帮忙。

首先是威胁情资的取得，当中会需要用到关于攻击手法、技术与步骤，以及系统可直接读取的威胁情资餵送服务（Machine-Readable Threat Intelligence，MRTI）。

其次，是感测器的部署，必须能够收集主机、网路、基础设施、应用系统的状态，才能够更完整地掌握异常状况与突发事件。

接下来是收集与分析机制的建立，我们会需要能够收集、汇聚资料的云端服务、储存空间，以及资料分析引擎。最终，则是威胁猎捕团队的设置。Sergey Gordeychik也特别提到，威胁猎捕的机制必须架构在安全维运中心之上。

面对目标式攻击的来袭，我们需要採取许多作法来遏止，若要做好威胁猎捕，Sergey Gordeychik也提出三大简单的原则，而这也是许多资安专家不断耳提面命的建议。第一点是知彼、更要知己，也就是了解敌人的攻击动机与方式之余，同时也要清楚自己的安全弱点所在；第二点是跟随变化多端的安全威胁趋势之余，也要懂得善用手边所拥有的各种资源；第三点则是关注未来即将面临的各种攻击，同时需记取过去自己与他人所经历的安全事件教训。