要防堵資安事件,不能不關心當下主流的攻擊手法。回顧2019年的前五大Malware攻擊行為,第一名是Defense Evasion–Software Packing(26%);第二名是Defense Evasion–Hidden Windows(22%);第三名是Standard Application Layer Protocal–Command & Control(20%);第四名是Discovery–Process(17%);第五名是Persistence–Registry Run Keys in startup folder(15%)。
這幾類攻擊行為模式最大的相同點是隱藏自己的樣貌與足跡,因此靠已知攻擊手法作為防禦基礎的工具,時常無法有效阻擋攻擊。
正常工具的不當使用及各種迴避手法,讓端點威脅防禦更具挑戰性,例如惡意程式會先將自己壓縮或加密,藉以躲避傳統特徵碼檢查工具的掃描;或者是攻擊者透過醒目的視窗掩護隱藏的視窗,或是合法標準的通道(HTTP、 HTTPs、SMTP、DNS等)夾帶惡意的指令以取得控制權,在所有攻擊活動中,利用PowerShell等系統內建工具進行攻擊的比重越來越高,超過一半是Non-Malware。
這就是為什麼對於新型態的攻擊,不能再用法家思想「誅其行不誅其心」的舊方法,而要能洞悉這些一連串的動作背後可能是惡意程式要發動的先兆,掌握關鍵時刻預先將其封鎖或是直接刪除,但要具有判斷惡意攻擊預兆的能力,其背後運作需要很多科技的輔助,例如大數據分析能力、AI演算法以及豐富的資安情資等缺一不可。
該如何辨識一個真正能防範未知威脅的工具?建議可以從可視性、行為分析能力以及情資大數據三個面向來評估。首先要詳實收集完整的活動紀錄能力,第二是要進行串流分析行為,最後輔以有威脅情資與雲端大數據作為即時參照。活動紀錄相對容易,但要注意採無偏見的端點活動收集,不要預判某些行為很正常無需紀律。串流行為分析就比較複雜,通常由行為模式分析取代傳統的特徵方式下手,不只看單一行為必須連動組合行為做為判定其意圖的依據。
另外,針對攻擊行為模式與攻擊文本下手,而不是單靠檔案本身是否具有惡意特徵或是單一時點的行為判斷,這種方式仰賴威脅獵捕(Threat Hunting)技術對行為進行挖掘,分析引擎可專注於新型攻擊之行為模式的建立,最後再與威脅情資進行關聯以辨識威脅本質。
歸納以上的觀點,建議可建立五道安全防線來防禦病毒與駭客的攻擊:
Layer 0:海量的端點活動紀錄並尋求信譽良好的威脅情資輔助
Layer 1:具備和傳統防毒相同的惡意程式偵測及阻擋能力
Layer 2:在端點上的即時流水線式分析
Layer 3:進階的勒索病毒防禦
Layer 4:運用沙箱強化未知檔案之辨識能力
<本文作者:吳子強現為VMware副總經理暨技術長>