当前位置: > >面对目标攻击不能只是挨打,Kaspersky倡言新的主动因应之道——

面对目标攻击不能只是挨打,Kaspersky倡言新的主动因应之道——

03-18,IT资讯面对目标攻击不能只是挨打,Kaspersky倡言新的主动因应之道——最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

李宗翰 摄影

这几年以来,锁定目标的网路攻击(Target Attack)因为採用的手法相当独特、複杂、多变,而且所要侵袭的对象相当精準、明确,一直是许多资安防护难以有效阻绝的威胁。

而在今年台湾资安大会上,卡巴斯基实验室副首席技术长暨智能情报服务负责人Sergey Gordeychik,就以此为题,剖析全球各地先前发生过的几次重大目标式攻击事件,并且提出因应之道。

Sergey Gordeychik举出许多实例,首先提到的攻击是日益猖獗、人人闻之色变的勒索软体(Ransomware)。2016年11月底,美国旧金山城市铁路系统(Municipal Transportation Agency,MTA)就遭到勒索软体攻击,而使得票务系统停摆。

除了勒索软体的威胁,Sergey Gordeychik也谈到之前多起锁定目标的攻击事件,例如,瘫痪乌克兰发电厂的BlackEnergy恶意软体,而在这些攻击事件中,有不少例子,并非仅针对单一公司、单一产业,攻击对象範围之广,也超乎想像。

例如,2016年3月,Cobalt黑客组织就针对15个国家、40多间银行的ATM设备,发动攻击以盗领现金,7月时,台湾的第一银行也受到ATM盗领的攻击;2016年,孟加拉中央银行也遭遇多次攻击,他们在环球银行金融电信协会(SWIFT)的全球银行跨行转帐交易服务,受到入侵而损失大笔金钱。

而到了今年,企业遭到目标攻击的事件仍然频传,就像2月发生震惊全球的无档案恶意软体(fileless)大规模侵入事件,更是已经渗透40个国家、超过140家企业,有不少银行、电信业者、政府机关均是受害对象。

为了要妥善防御各种锁定目标的攻击,Sergey Gordeychik说,基本上,可透过预测、预防、侦测、反应的处理流程,并且持续进行。然而,若要更主动、积极地针对这样应接不暇的威胁,Sergey Gordeychik认为,威胁猎捕(Threat Hunting)会是值得各界关注的新作法。这里所提到的威胁猎捕,是指透过所收集到的资料,不断反覆地搜寻,以便找出刻意躲避侦测的进阶威胁。

Sergey Gordeychik表示,除了实施相关的预防机制,以及透过安全维运中心提供的异常监控、警示,获得了一定程度的保护,若能同时搭配威胁猎捕,可望进一步降低残留在环境内的安全风险,对于攻击发动后、防守方侦测到威胁耗费的时间,也能够予以缩减。这种作法还可以用来发现未知型的目标式攻击,以及基于不同的手法、技术与步骤(Tactics, techniques and procedures,TTP)而成的攻击,甚至是非恶意程式型态的攻击(Non-malware Attack)。

至于为何是以「猎捕」这么严重的方式来称呼,Sergey Gordeychik说,威胁是「人」所造成的,重点在于敌人,而非只关注他们所用的工具(恶意软体)。Sergey Gordeychik说的这段话,并非只是他个人主张,主要出自于国际资安组织SANS的一份报告——《The Who, What, Where, When, Why and How of Effective Threat Hunting》。

事实上,威胁猎捕并非只是空谈的理想,Sergey Gordeychik也引用SANS在2016年4月进行的调查,已经有企业或组织导入。在该项调查的496份有效问卷当中,有高达86%的使用单位表示,开始涉入相关的应用,并基于提升察觉安全异常行为的原因来推动,但目前没有正式的威胁猎捕计画的则有4成。

而在进行威胁猎捕时,Sergey Gordeychik认为,首先我们本身必须具备几个条件:提供安全的使用环境、拥有充分的入侵指标(IOC)资讯、能够分析资料,接着,可以进行威胁猎捕的流程,透过模拟情境的侦测、部署,以及实际侦测、证据蒐集、资料分析等步骤,然后再接续上述的模拟情境、实际操作的程序。

在导入威胁猎捕的过程中,Sergey Gordeychik建议可以採用下列4种工具来帮忙。

首先是威胁情资的取得,当中会需要用到关于攻击手法、技术与步骤,以及系统可直接读取的威胁情资餵送服务(Machine-Readable Threat Intelligence,MRTI)。

其次,是感测器的部署,必须能够收集主机、网路、基础设施、应用系统的状态,才能够更完整地掌握异常状况与突发事件。

接下来是收集与分析机制的建立,我们会需要能够收集、汇聚资料的云端服务、储存空间,以及资料分析引擎。最终,则是威胁猎捕团队的设置。Sergey Gordeychik也特别提到,威胁猎捕的机制必须架构在安全维运中心之上。

面对目标式攻击的来袭,我们需要採取许多作法来遏止,若要做好威胁猎捕,Sergey Gordeychik也提出三大简单的原则,而这也是许多资安专家不断耳提面命的建议。第一点是知彼、更要知己,也就是了解敌人的攻击动机与方式之余,同时也要清楚自己的安全弱点所在;第二点是跟随变化多端的安全威胁趋势之余,也要懂得善用手边所拥有的各种资源;第三点则是关注未来即将面临的各种攻击,同时需记取过去自己与他人所经历的安全事件教训。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
上一篇:SAP修补HANA零时攻击漏洞 下一篇:没有了
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >