面对目标攻击不能只是挨打,Kaspersky倡言新的主动因应之道——
李宗翰 摄影
这几年以来,锁定目标的网路攻击(Target Attack)因为採用的手法相当独特、複杂、多变,而且所要侵袭的对象相当精準、明确,一直是许多资安防护难以有效阻绝的威胁。
而在今年台湾资安大会上,卡巴斯基实验室副首席技术长暨智能情报服务负责人Sergey Gordeychik,就以此为题,剖析全球各地先前发生过的几次重大目标式攻击事件,并且提出因应之道。
Sergey Gordeychik举出许多实例,首先提到的攻击是日益猖獗、人人闻之色变的勒索软体(Ransomware)。2016年11月底,美国旧金山城市铁路系统(Municipal Transportation Agency,MTA)就遭到勒索软体攻击,而使得票务系统停摆。
除了勒索软体的威胁,Sergey Gordeychik也谈到之前多起锁定目标的攻击事件,例如,瘫痪乌克兰发电厂的BlackEnergy恶意软体,而在这些攻击事件中,有不少例子,并非仅针对单一公司、单一产业,攻击对象範围之广,也超乎想像。
例如,2016年3月,Cobalt黑客组织就针对15个国家、40多间银行的ATM设备,发动攻击以盗领现金,7月时,台湾的第一银行也受到ATM盗领的攻击;2016年,孟加拉中央银行也遭遇多次攻击,他们在环球银行金融电信协会(SWIFT)的全球银行跨行转帐交易服务,受到入侵而损失大笔金钱。
而到了今年,企业遭到目标攻击的事件仍然频传,就像2月发生震惊全球的无档案恶意软体(fileless)大规模侵入事件,更是已经渗透40个国家、超过140家企业,有不少银行、电信业者、政府机关均是受害对象。
为了要妥善防御各种锁定目标的攻击,Sergey Gordeychik说,基本上,可透过预测、预防、侦测、反应的处理流程,并且持续进行。然而,若要更主动、积极地针对这样应接不暇的威胁,Sergey Gordeychik认为,威胁猎捕(Threat Hunting)会是值得各界关注的新作法。这里所提到的威胁猎捕,是指透过所收集到的资料,不断反覆地搜寻,以便找出刻意躲避侦测的进阶威胁。
Sergey Gordeychik表示,除了实施相关的预防机制,以及透过安全维运中心提供的异常监控、警示,获得了一定程度的保护,若能同时搭配威胁猎捕,可望进一步降低残留在环境内的安全风险,对于攻击发动后、防守方侦测到威胁耗费的时间,也能够予以缩减。这种作法还可以用来发现未知型的目标式攻击,以及基于不同的手法、技术与步骤(Tactics, techniques and procedures,TTP)而成的攻击,甚至是非恶意程式型态的攻击(Non-malware Attack)。
至于为何是以「猎捕」这么严重的方式来称呼,Sergey Gordeychik说,威胁是「人」所造成的,重点在于敌人,而非只关注他们所用的工具(恶意软体)。Sergey Gordeychik说的这段话,并非只是他个人主张,主要出自于国际资安组织SANS的一份报告——《The Who, What, Where, When, Why and How of Effective Threat Hunting》。
事实上,威胁猎捕并非只是空谈的理想,Sergey Gordeychik也引用SANS在2016年4月进行的调查,已经有企业或组织导入。在该项调查的496份有效问卷当中,有高达86%的使用单位表示,开始涉入相关的应用,并基于提升察觉安全异常行为的原因来推动,但目前没有正式的威胁猎捕计画的则有4成。
而在进行威胁猎捕时,Sergey Gordeychik认为,首先我们本身必须具备几个条件:提供安全的使用环境、拥有充分的入侵指标(IOC)资讯、能够分析资料,接着,可以进行威胁猎捕的流程,透过模拟情境的侦测、部署,以及实际侦测、证据蒐集、资料分析等步骤,然后再接续上述的模拟情境、实际操作的程序。
在导入威胁猎捕的过程中,Sergey Gordeychik建议可以採用下列4种工具来帮忙。
首先是威胁情资的取得,当中会需要用到关于攻击手法、技术与步骤,以及系统可直接读取的威胁情资餵送服务(Machine-Readable Threat Intelligence,MRTI)。
其次,是感测器的部署,必须能够收集主机、网路、基础设施、应用系统的状态,才能够更完整地掌握异常状况与突发事件。
接下来是收集与分析机制的建立,我们会需要能够收集、汇聚资料的云端服务、储存空间,以及资料分析引擎。最终,则是威胁猎捕团队的设置。Sergey Gordeychik也特别提到,威胁猎捕的机制必须架构在安全维运中心之上。
面对目标式攻击的来袭,我们需要採取许多作法来遏止,若要做好威胁猎捕,Sergey Gordeychik也提出三大简单的原则,而这也是许多资安专家不断耳提面命的建议。第一点是知彼、更要知己,也就是了解敌人的攻击动机与方式之余,同时也要清楚自己的安全弱点所在;第二点是跟随变化多端的安全威胁趋势之余,也要懂得善用手边所拥有的各种资源;第三点则是关注未来即将面临的各种攻击,同时需记取过去自己与他人所经历的安全事件教训。
- 上一篇
英特尔以153亿美元收购自驾车平台商Mobileye
图片来源: Intel 晶片大厂英特尔跨入自驾车再进击。继去年底成立自驾车事业群后,周一再宣布以每股63.54美元,总价近153亿的现金收购以色列汽车机器学习及图资开发商Mobileye,跨入自驾车领域。 ? Mobileye提供汽车先进驾驶辅助(advanced driving assistanc
- 下一篇
台湾最大资安大会登场,报名人数突破5千人
图片来源: iThome 第三届台湾资安大会于3月14日、3月15日登场,假台北国际会议中心(TICC)举办,报名人数超过5,400人,比去年增加2千人。报名人数的暴增也意味着从去年到今年层出不穷的资安事件,让台湾企业主已经到了无法忽略资安重要性的时刻。 对于2017
相关文章
- FGO人物逸闻,fgo北斋葛饰为什么叫阿荣?
- 赛尔号中的索兰特是邪灵组织吗?索兰特和布莱克什么关系
- Xbox买会员服务可以玩所有游戏吗
- 火影忍者:忍界中的四大伪君子分别是谁?大野木,神农,四代风影上榜。
- 神印王座谁赢了:龙皓晨对战杨文昭谁厉害,龙皓晨是怎样打败杨文昭
- 杨文昭和陈樱儿在一起吗?
- 喜羊羊全员基因转变成狼族,造型高冷炫酷,美羊羊的各种姿态!
- 颜艺才是本体!《狂赌之渊》真人版的学生会长终于涂上了蓝色口红,狂赌之渊学生会成员有哪些
- 史莱姆第15话:利姆露赐予鬼人职务,紫苑完全不适合,朱菜没变化,转生史莱姆结局
- 《杀手6》游侠LMAO 8.3完整内核汉化补丁下载发布!杀手6怎么玩,杀手6通关攻略大全