李宗翰 摄影
这几年以来,锁定目标的网路攻击(Target Attack)因为採用的手法相当独特、複杂、多变,而且所要侵袭的对象相当精準、明确,一直是许多资安防护难以有效阻绝的威胁。
而在今年台湾资安大会上,卡巴斯基实验室副首席技术长暨智能情报服务负责人Sergey Gordeychik,就以此为题,剖析全球各地先前发生过的几次重大目标式攻击事件,并且提出因应之道。
Sergey Gordeychik举出许多实例,首先提到的攻击是日益猖獗、人人闻之色变的勒索软体(Ransomware)。2016年11月底,美国旧金山城市铁路系统(Municipal Transportation Agency,MTA)就遭到勒索软体攻击,而使得票务系统停摆。
除了勒索软体的威胁,Sergey Gordeychik也谈到之前多起锁定目标的攻击事件,例如,瘫痪乌克兰发电厂的BlackEnergy恶意软体,而在这些攻击事件中,有不少例子,并非仅针对单一公司、单一产业,攻击对象範围之广,也超乎想像。
例如,2016年3月,Cobalt黑客组织就针对15个国家、40多间银行的ATM设备,发动攻击以盗领现金,7月时,台湾的第一银行也受到ATM盗领的攻击;2016年,孟加拉中央银行也遭遇多次攻击,他们在环球银行金融电信协会(SWIFT)的全球银行跨行转帐交易服务,受到入侵而损失大笔金钱。
而到了今年,企业遭到目标攻击的事件仍然频传,就像2月发生震惊全球的无档案恶意软体(fileless)大规模侵入事件,更是已经渗透40个国家、超过140家企业,有不少银行、电信业者、政府机关均是受害对象。
为了要妥善防御各种锁定目标的攻击,Sergey Gordeychik说,基本上,可透过预测、预防、侦测、反应的处理流程,并且持续进行。然而,若要更主动、积极地针对这样应接不暇的威胁,Sergey Gordeychik认为,威胁猎捕(Threat Hunting)会是值得各界关注的新作法。这里所提到的威胁猎捕,是指透过所收集到的资料,不断反覆地搜寻,以便找出刻意躲避侦测的进阶威胁。
Sergey Gordeychik表示,除了实施相关的预防机制,以及透过安全维运中心提供的异常监控、警示,获得了一定程度的保护,若能同时搭配威胁猎捕,可望进一步降低残留在环境内的安全风险,对于攻击发动后、防守方侦测到威胁耗费的时间,也能够予以缩减。这种作法还可以用来发现未知型的目标式攻击,以及基于不同的手法、技术与步骤(Tactics, techniques and procedures,TTP)而成的攻击,甚至是非恶意程式型态的攻击(Non-malware Attack)。
至于为何是以「猎捕」这幺严重的方式来称呼,Sergey Gordeychik说,威胁是「人」所造成的,重点在于敌人,而非只关注他们所用的工具(恶意软体)。Sergey Gordeychik说的这段话,并非只是他个人主张,主要出自于国际资安组织SANS的一份报告——《The Who, What, Where, When, Why and How of Effective Threat Hunting》。
事实上,威胁猎捕并非只是空谈的理想,Sergey Gordeychik也引用SANS在2016年4月进行的调查,已经有企业或组织导入。在该项调查的496份有效问卷当中,有高达86%的使用单位表示,开始涉入相关的应用,并基于提升察觉安全异常行为的原因来推动,但目前没有正式的威胁猎捕计画的则有4成。
而在进行威胁猎捕时,Sergey Gordeychik认为,首先我们本身必须具备几个条件:提供安全的使用环境、拥有充分的入侵指标(IOC)资讯、能够分析资料,接着,可以进行威胁猎捕的流程,透过模拟情境的侦测、部署,以及实际侦测、证据蒐集、资料分析等步骤,然后再接续上述的模拟情境、实际操作的程序。
在导入威胁猎捕的过程中,Sergey Gordeychik建议可以採用下列4种工具来帮忙。
首先是威胁情资的取得,当中会需要用到关于攻击手法、技术与步骤,以及系统可直接读取的威胁情资餵送服务(Machine-Readable Threat Intelligence,MRTI)。
其次,是感测器的部署,必须能够收集主机、网路、基础设施、应用系统的状态,才能够更完整地掌握异常状况与突发事件。
接下来是收集与分析机制的建立,我们会需要能够收集、汇聚资料的云端服务、储存空间,以及资料分析引擎。最终,则是威胁猎捕团队的设置。Sergey Gordeychik也特别提到,威胁猎捕的机制必须架构在安全维运中心之上。
面对目标式攻击的来袭,我们需要採取许多作法来遏止,若要做好威胁猎捕,Sergey Gordeychik也提出三大简单的原则,而这也是许多资安专家不断耳提面命的建议。第一点是知彼、更要知己,也就是了解敌人的攻击动机与方式之余,同时也要清楚自己的安全弱点所在;第二点是跟随变化多端的安全威胁趋势之余,也要懂得善用手边所拥有的各种资源;第三点则是关注未来即将面临的各种攻击,同时需记取过去自己与他人所经历的安全事件教训。
I 相关 / Other
中新网3月14日电据外媒报道,英国剑桥大学物理学家霍金日前在接受媒体采访时,再次强调人类建立有效机制,防止人工智能(AI)对人类的威胁进一步上升。据报道,霍金在接受采访时表示,包括AI在内的新科技若持续发展,可
非洲70年最严重饥荒 2000万人面临饥荒和疾病威胁儿童虚弱至极
非洲70年最严重饥荒2000万人面临饥荒和疾病威胁儿童虚弱至极。近日有研究发现,全球饥饿情况正处在数十年来的最严重水平,45个国家多达7000万人急需粮食援助。这些国家当中,尼日利亚、索马里、南苏丹和也门陷入饥荒
【环球时报驻英国特约记者王辉】“也门、南苏丹、索马里和肯尼亚有2000万人面临饥荒和疾病威胁,世界正遭遇二战以来最严重的大饥荒。”美国有线电视新闻网12日说,联合国负责人道主义事务的副秘书长奥布莱恩日前访问
宝马霸气怼特朗普 离开美国BMW照样卖 无视新总统重税威胁坚称不屈服
宝马霸气怼特朗普,特朗普竞选期间就一再声称“美国第一”,要求美国公司“雇美国人,买美国货”。而他上任后就开始一直在找很多制造业巨头的麻烦。比如丰田、通用等多家汽车公司,就曾被他在推特上公开以重税威胁过
法国民族阵线(National Front)党魁雷朋(Marine Le Pen)宣布竞选总统计划,政见包括让法国退出欧盟、退出北大西洋公约组织(NATO),并恢复法郎做为货币,引发市场震撼,担忧欧盟走向解体之路。立委今天(8日)在立法院质