COVID-19大流行期間企業高度依賴網路運作,但也引來空前大量的駭客攻擊,嚴重資安事件頻傳。儘管本土疫情暫時趨緩,企業或組織從全面居家辦公(Work From Home)降級為異地辦公、分流出勤,但全球即使疫苗施打率偏高的歐美地區,仍不敵更強更刁鑽的變異病毒肆虐,台灣只要邊境稍有破口,疫情隨時可能再度升級,居家到班並行的混合式辦公模式勢將成為常態。對此,騰曜網路科技(NEITHNET)憑藉實際協助本土企業處理資安事件累積的經驗,建議可利用主動式威脅獵捕(Threat Hunting),以降低混合辦公衍生的資安風險。
今年(2021)五月台灣疫情警戒首次提升到第三級,企業實施居家辦公期間,員工若需存取公司內網應用系統,主要透過VPN傳輸連線,抑或是藉由桌面虛擬化(VDI)技術啟動Windows作業系統,來執行日常工作任務。NEITHNET技術經理MiG指出,不論VPN或VDI其實皆有潛在風險,過去一年多家國際VPN大廠陸續被揭露新漏洞,讓駭客可繞過驗證機制直接存取內網,若未能即時安裝修補更新程式恐被攻擊者長驅直入。另一方面,員工居家辦公的網路連線,若接取社區大樓所提供的寬頻服務大多配置為Public IP,極容易直接遭受攻擊,一旦駭客滲透入侵到員工裝置,即可藉此為跳板順利地進入公司內網。
以往的威脅防禦,區分為被動式防禦(Passive Defense)與主動式防禦(Active Defense),被動式防禦可偵測已知型的威脅,主動式防禦則主要針對未知型攻擊。威脅獵捕(Threat Hunting)被歸類在主動式防禦,便是用於抵抗未知型攻擊。威脅獵捕技術藉由在端點部署偵測引擎,可基於入侵指標(Indicators of Compromise,IoC)、特徵碼運行檢測,在發現符合當下提出告警,經IT人員判斷並非為誤報後,立即採取行動來破壞攻擊流程,以免釀成資安事件。
COVID-19疫情期間,惡意攻擊非但未停歇反而更加活躍,NEITHNET技術經理MiG建議企業可利用主動式威脅獵捕(Threat Hunting)來因應,以降低混合辦公模式衍生的資安風險。
MiG進一步說明,執行威脅獵捕的過程,需不斷地假設命題,大範圍地蒐集資料與調查分析,從中找到蛛絲馬跡來證明惡意程式已潛伏在內網環境。再根據掌握到的攻擊行為軌跡,轉化為入侵指標,並發布到偵測與防禦的設備。如此一來,把未知型攻擊手法或惡意程式變成了已知,便可加以阻斷內網環境中潛伏的橫向移動。
威脅獵捕技術用於識別入侵行為的分析相當複雜,主要依據資安業界主流的MITRE ATT&CK框架來分析TTP,亦即監控駭客慣用的戰術、技術與執行程序(Tactics、Techniques與Procedures),其中戰術意謂攻擊者在特定階段要達成的目標,技術則是實作的手法,執行過程中則以軟體工具作為武器。MITRE為美國非營利資安組織,其提出的ATT&CK框架至今已發展到第九個版本,可視為分析攻擊手法的完整資料庫,涵蓋全球122個APT攻擊組織所採行的14類戰術、近600種攻擊用軟體工具。除了可藉此凸顯出攻擊活動狀態,更重要的是讓資安人員以共同語言進行溝通與討論,協力進行抵禦與破壞,使攻擊活動最終失敗收場。
企業該如何運用威脅獵捕來降低資安風險?MiG建議,首先要組織擁有實戰經驗的資安事件回應(Incident Response,IR)團隊,其次是建置可蒐集大量日誌資料的平台,例如部署端點偵測與回應(Endpoint Detection and Response,EDR)方案,第三點是參考外部威脅情資,取得最新揭露的漏洞攻擊手法,先一步建立防護措施。但若是專業人力與資源皆有限的企業,則可藉由託管式偵測及回應(MDR)服務來達成,藉由7x24小時持續地監控,以較低成本大幅降低資安風險。