资安公司Team T5创办人蔡松廷表示,要在网路风险越来越高的环境求生存,一定要设法了解你的敌人是谁、所处的环境多幺险峻,才有办法找出最好的求生策略。否则,错误的情报只会导致错误的决策并衍生错误的致命作法而已。
图片来源:iThome
孙子兵法有云:「知己知彼、百战不殆」,这句话不仅用在古早时代的战争中,到了现代,尤其是越来越複杂的网路攻防战争中,如何做到事先了解自己,也了解敌人,才是致胜的不二法门。
资安研究公司Team T5创办人蔡松廷(网路暱称TT)表示,传统的资安已经不足以应付最新的网路攻击和威胁,所以现在得开始协助企业做网路威胁情报(Cyber Threat Intelligence,简称CTI)彙整与分析,才有办法面对最新的网路威胁。
什幺是网路威胁情报分析
蔡松廷表示,网路威胁攻击手法持续在改变,四、五年前流行的是所谓的APT(进阶式持续性威胁)攻击,但一阵子又会出现不一样的攻击手法,到这两年,资安业者又开始讲网路威胁情资,综合这些,其实网路威胁情资是一种帮助企业对抗网路攻击的好物,由许多研究团队每天分析病毒样本、追蹤骇客、整理有用情资给客户。
不过,企业为什幺会需要这样的网路威胁情报呢?
蔡松廷认为,很多企业都花了很多资源了解自己,不论是定期做渗透测试、定期做内稽内控、加强存取控管、了解网站漏洞及如何分析log等,都是在了解企业自己,但这中间很有趣的地方却在于,多数企业并不了解,想要攻击自己的敌人的状态为何?也不清楚自己所处的环境如何险峻?
蔡松廷说:「这是一种敌暗我明的状态,」因为,敌人花很多心力了解企业,但是企业却因为不知道如何了解敌人的状态,反而会处于劣势。简单的讲,他认为,这种网路威胁情报其实是协助企业了解你的敌人,只要越了解敌人,企业越能立于不败之地。
网路威胁情资可依攻击者意图分3类
如果把网路威胁情报依据网路战争的角度做分析,可以将攻击者的意图分成三类,可以得到三种不同类型的网路威胁情资。
第一类目的是为了赚钱,通常是网路犯罪者(Cyber Crime),这也是一般人最常遇到的网路威胁,攻击的手法从勒索软体偷取资料、网路诈骗、广告软体等,都包含在内。
第二类是骇客主义(Hacktivism),最常听到的就是网路骇客组织匿名者(Annoymous),这些骇客组织出面的目的,往往都不是为了钱,最主要都是为了宣传他们坚持的理念,希望透过这种网路攻击的手法,让其他人知道他们想要表达的是什幺?目的是什幺?手段作风非常高调,锁定的攻击对象,以及相关的攻击过程和手法,也都会全部对外公布,有些时候也会发动DDoS攻击。
最后一类,就是网路间谍(Cyber Espionage)攻击,目的是为了窃取情资,可以长时间潜伏在组织内而不动作。上述三个种类都可以扩及到网路战争的等级,包含企业在内,都必须以「战争」状态来因应,不应该简单视之。
而这些网路威胁背后都有人的存在,「人」才是网路威胁最重要的关键,蔡松廷指出,网路威胁情资一个很重要的关键就是:要解决人的问题,包括敌人的问题和如何面对敌人。
网路战争时代,面对敌人要有情报,而国际调研公司Gartner对情报的描述则认为,这是一种知识,主要的目的是为了协助决策,并提供描述方法机制、协助侦测的方法,提供使用者可以怎幺做的建议来对抗网路威胁,用来消除针对使用者的威胁、保护使用者的资产,进而落实好的决策,以避免这些威胁和攻击对使用者带来的损害。
台湾虽然没有丰盛的天然资源,却有一个取之不尽、用之不竭的宝藏,那就是各种恶意程式都会选择台湾作为一种测试的场域,换句话说,这些恶意程式也可以成为台湾珍贵的资源。图片来源/蔡松廷
从掌握APT攻击链,开始掌握网路威胁情资
根据资安业者FireEye的调查,台湾是全球APT攻击最严重的国家之一,企业至少有5个月的时间,根本无法察觉自己已经受骇,而受骇的产业包罗万象,从线上游戏业者到政府部门都包括在内。
事实上,台湾成为APT锁定攻击的国家已经有十多年的历史了,要想要预防APT攻击,就必须先从了解APT攻击链(APT Kill Chain)着手,「唯有了解APT的攻击模式后,才有办法知道预防或控制的错略。」蔡松廷说。
参考资安公司Pivotal的分类,APT攻击链分成五个阶段,首先是利用钓鱼邮件和零时差漏洞发动攻击,藉此先入侵使用者的电脑;再者,在使用者电脑植入后门程式,骇客就可以远端进行操控;第三点就是后门程式会在使用者企业内部进行横向移动,藉此存取许多重要人士的帐号和特定重要系统;第四点则是收集资料,从锁定的伺服器中蒐集所需要的各种资料并加以萃取;最后一点则是,将搜集到的资料进行加密,并听从骇客的指示,将这些特定的资料透过FTP等方式,回传到骇客指定的特定受骇电脑,骇客就可以拥有从使用者端所蒐集到的各种资料。
因为了解APT攻击流程,企业若想要预防这样的攻击,就可以透过所掌握的网路威胁情资,去判断究竟需要什幺样的防护设备比较适合。
举例而言,使用者要採购产品前,要先回答在企业内网中,看到什幺样的恶意活动?用什幺方式寻找恶意程式?这些网路威胁发生在哪里?企业内网发生什幺事情?这个攻击者做了什幺事情?怎幺做?使用者的环境中,还有其他的漏洞被骇客锁定吗?这次骇客入侵,是透过什幺样的漏洞进到企业内部呢?骇客为什幺要攻击使用者?谁应该对这次受攻击事件负责?攻击者是谁?有拟定什幺样的应变措施呢?这些问题的答案,其实就是网路威胁情资的内涵。
蔡松廷坦言,如果面对上面这些问题的质疑,使用者都无法回答并掌握相对应的情资,任何的资安产品採购,其实都无法达到真正的防御效果,基本上,都是「花钱买心安」而已。
而有效减缓网路威胁是需要仰赖好的网路威胁情报才能做到,蔡松廷表示,一刚开始,所有的人掌握的情资都是从不知道自己不知道什幺(Unknown Unknowns)开始;慢慢的,会开始发现自己知道自己到底有哪些情报是不知道的(Known Unknowns);之后会进步到,自己究竟知道了些什幺(Known Knowns),而这些知道就可以有效协助企业对抗各种网路威胁。
像是许多企业如果有网站的话,可能会担心遭受到DDoS(分散式阻断式)攻击,一开始是Unknown Unknowns,敌人对你发动攻击时,自己一无所知,只能被攻击;但是若能进步到Known Unknowns时,就是虽然知道有人要对你发动DDoS攻击,但是不知道对方怎幺攻击你、规模多大、使用哪些恶意程式等。
最后,经由调查过程,除了可以协助你更了解这些攻击手法,并且知道你的攻击者在哪里、使用哪些工具和方法、有没有租赁傀儡电脑等,可以了解骇客使用的DDoS攻击手法从简单到複杂,了解这群攻击者使用的攻击方法是什幺后,就可以透彻地知道可以知道怎幺应付,像是DDoS攻击如果受骇的人数多时,可以使用CDN等服务,减缓网路的攻击。他认为,透过这些威胁情资,就可以更了解你的敌人,对于你的资安规画越有正面相关。
从这个痛苦金字塔(The Pyramid of Pain)模型来看,最底层金字塔的资料最多,价值最低,对骇客造成的影响程度也做不痛不痒;越是金字塔顶端的资料越少、价值越高,对骇客造成的影响程度也越深远。图片来源/David Bianco
从痛苦金字塔看哪种资料类型,对骇客造成的威胁最大
网路威胁情资是有价值的,若从一个痛苦金字塔(The Pyramid of Pain)模型来看,最底层金字塔的资料最多,价值最低,对骇客造成的影响程度也做不痛不痒;越是金字塔顶端的资料越少、价值越高,对骇客造成的影响程度也越深远。
这个痛苦金字塔模型中,蔡松廷表示,最底层的资料就是各种档案的Hash值,重要性最低;再往上层,就是一些IP位址的资料,如果企业可以取得恶意的IP位址,可以对骇客造成一些轻微的影响;再往上去,就是恶意的网域名称(Domain Name),价值比IP位址更高,阻挡的较果更好。
像是,如果搜集到的情报和网路特徵相关,骇客会开始感到麻烦、不愉快;但是,如果提供的资讯是关于骇客所使用的工具,可以针对工具和漏洞做侦测与阻挡,骇客真的会感到麻烦大了,对他们是一大挑战;最后,是资料提供难度最高TTP(战略、战术、程序),他认为,有这些高阶的情报资讯,就可以真正知道攻击的人是谁,有什幺意图等等,可以从更高层次去防御网路攻击和威胁,当然,对于骇客带来的冲击也是最严重的。
例如在去年九月,中国国家主席习近平到美国访问美国总统欧巴马时,欧巴马就明确告诉习近平,不要再窃取美国网路上的机会,企图为中国业者带来商业上的优势,蔡松廷指出,就是透过外交手段,展现网路威胁情资中最高段的TTP实例。
这带来的成效也最显着,像是网路上的观察,在去年九月那段时间,中国对美国或是日本发动的网路攻击,几乎减少倒没有发动任何攻击;但是,根据卡巴斯基描述,虽然中国对美国的攻击都不见了,但是,却发现中国其实是转向对俄罗斯发动网路攻击。
当然,提供网路威胁情报的目的不只在攻防层次,甚至是在攻击发动前可以做到预防效果,或者是让攻击者无法发动攻击。他表示,好的网路威胁情资不只提供网路上可以防御的规则,也可以做为维运网路系统时的準备,当然,也有助于企业在进行各种防御策略规画和做相关的採购时,作为一种更长期的商业情报决策参考。
纵深防御4个阶段:预防、侦测、反应和研究
孙子兵法中讲的战略分成四个层次,「上兵伐谋,其次伐交,其次伐兵,其下攻城」,要搞到短兵相接是最低层次的事情,真正厉害的战略,其实就是彼此高来高去时,就可做到「谈笑之间、强虏灰飞湮灭」。用在网路威胁情报也需要做到纵深防御,也可以分成四个等级,分别是预防(Prevent)、侦测(Detect)、反应(Respond)和研究(Research)。
蔡松廷表示,一旦发生任何的资安事件时,就会有CSIRT(网路安全事件反应小组)团队出面快速蒐集样本、分析样本,产生指标(Generate Indicators)、辨别真正的受骇目标后,就要把相关的资讯回馈给情报分析者。他认为,资讯回馈给情报分析者是非常重要的步骤,有持续性的回馈,才能让情报分析做的更好更精準。「而提供给CSIRT小组的情报,通常都包括如何调度资安团队进行相关的漏洞或网路威胁的清理和修复,这往往都是资安团队最需要的资讯。」他说。
接下来就是研究阶段,他表示,这时候就会有很多资安研究员对于网路威胁作各种分析,调查并追蹤各种已知敌人的战略、战术和程序,藉由资料蒐集、分析和调查,可以找到许多伺服器的Syslog、Wevlog,或者是複製DNS及录下全部的封包,真正掌握自己的阿基里斯键,以及受骇对象的TTP和背景资讯等。这些研究资讯都来自资安研究团队。
而预防阶段的资讯,主要是提供给做资安决策的高阶主管,藉此制度组织的资安防御政策,通常是CXO层级在公司经营决策上需要纳入的参考依据。蔡松廷认为,这其中也包含资安的预算、防御部署策略、选择适当的防御APT解决方案,并提供概念性测试,也要评估是否自建一个网路安全事件反应小组,和制定风险评估的需求标準,以及打造一个网路情报计画。
最后的阶段就是侦测阶段,要进行一天24小时、一周7天不中断的网路监控策略外,建立一个资安準则供SOC(网路维运中心)和安全团队遵守,包括闸道端和使用者端的侦测规则。
如果以解决APT威胁为例,蔡松廷表示,大部分受骇者发现出事后,经常不知道怎幺办,厂商到现场处理过后,事情却还是重複发生。
因为,他认为,第一个反应阶段,就是要採用逐步减缓过程,根据这个循环(Loop),针对这个族群来做侦测、找更多样本、看更多网路流向,做分析后再做侦测,找到更多病毒、后门和中继站,可以增加骇客在内网活动的门槛。
他指出,这个时间为期一个月~半年的时间都有可能,毕竟,APT不是一次可以清完,这是长期减缓的过程。
第二阶段是研究:收集更多资讯,提供了解自己和敌人更多的方法,收更多log,架更多监视器等,收集资料做研究分析调查,就可以了解攻击者是谁。第三阶段是预防,目的在协助客户做计画,针对攻击者的类型、制定防御策略、买对产品很重要,建立自己资安事件处理的团队,至少要一个专职,不要网管兼职,有专职资安就是一个进步。最后的阶段是侦测,藉此提供很多可以做侦测和阻挡的指标,从网路上及端点上来抓骇客在内网的足迹。
他认为,从预防、侦测、防御、研究,是一个循环,这也是每个资安人员都要思考的四个阶段。预防就是资安事件发生前的準备,包括设备和策略;侦测就是攻击发生当下,能否阻挡并知道有发生事件;防御则是,在事情发生之后,被攻击成功了该怎幺办?
蔡松廷提醒,很多人在这阶段才知道被攻击,这时候,受骇者有没有任何因应策略,除了打电话给厂商求救外,还可以怎幺做?自己有没有準备好?都是很重要的方向。最后,也是大家最容易忽略的研究阶段,这也是综合前三个阶段的结果,看哪里出问题,制定新的策略建议,回到预防阶段,制定新的预防策略,是企业资安成长的过程。
资安公司Team T5创办人蔡松廷认为,「唯有了解APT的攻击模式后,才有办法知道预防或控制的错略。」而资安公司Pivotal提出的APT攻击链(APT Kill Chain)是对APT攻击手法很好的切入点。图片来源/Pivotal
每个人都一定会被入侵,只是时间长短而已
蔡松廷表示,要面解决APT的网路威胁有四个重点,首先,所有受骇者都一定要意识到,入侵是必然的,只是时间长短而已,重点是,因为知道会被入侵后,才会知道要做预防準备。再者,APT是一个长期战争,攻击只需要突破一个点就成功,但防御却需要一整个面向,因此,不论防御的再好,骇客一定会入侵成功才罢手。
第三点,资安请投资在人的身上,要有好的资安策略做防御,只有人能制定策略,必须要建立自己的专职资安人力处理资安事件;第四点,也要投资在网路威胁情报上,去了解你的敌人,也要建立威胁情报平台(Threat Intelligence Platform,TIP),他说:「当企业可以尝试产生属于自己的情报,才有办法获得更进一步的优势对抗敌人。」
相关报导请参考「2016 全台最大规模资安盛会直击」
I 相关 / Other
秋季流行服装 男孩女孩应该这么穿
有到了一个新的季节,那么在这个新的时候我们更应该关注新的时尚,秋季流行服装都有哪些呢?除了给自己买衣服,作为妈妈的你童装的时尚也是不能忽视的哦。所有时尚的辣妈们都
网路思想家Clay Shirky:台湾公民科技不逊他国,政府别停止实验新做法
着有《乡民都来了:网路群众的组织力量》的Clay Shirky,除了任职纽约大学互动电子媒体课程合聘副教授外,也是当代着名的网路思想家之一。 图片来源: iThome 当代极具声望的网路思想家Clay Shirky,创新地将版本控
莎斯莱思男装流行|今年秋冬流行色长这样 一买一个准
虽说流行这个东西都是老生常谈来着,每一年每一个季节每一个月份都会有不同的流行趋势出现,看得我们眼花缭乱,也不懂到底哪一个才是真正的时尚。但是总结
秋季连衣裙搭配 秋装流行什么连衣裙
女生羡慕男生不来大姨妈,男生羡慕女生没有压力,小时候觉得女生的衣服好看,但是男生的衣服比较的简约好选择,小时候的搭配头痛的是妈妈,又是一个换季,秋天来临是不是又
海贼王动画第757话将于本周末更新,目前先行图已公布。佐乌岛曾遭受的磨难进一步揭晓——为了寻找武士,凯多派遣赏金10亿的旱灾杰克前来围剿毛皮族……从旺达的叙述中,路飞了解到了这座岛屿前