號稱史上最嚴格的歐盟個資法GDPR(一般資料保護規範)施行已滿一年,IBM全球資訊安全部門全球威脅情報防禦產品協理謝明君引述統計資料指出,過去一年有超過28萬筆的案件遭到舉報,其中有64,000筆已經確認違反GDPR規範,累計的罰金為歐元5,600萬元,大約台幣20億元。由此不難發現,資料外洩事件頻傳確實提高全球各地企業的重視程度,但是駭客組織勢必會想到更新的方法達到獲利目的。
企業或組織在預算與技能皆不足的情況下,為了遏制愈來愈猖獗的駭客入侵活動,逐漸轉向採用資安代管服務(MSS)來協助執行辨識、保護、偵測與回應,其所採行的解決方案,除了由傳統的EPP、威脅獵捕、威脅情資等組成,MDR亦為其中一環,因此必須由不同技術領域的廠商整合才得以發揮綜效。
不少企業長期以來建置了相當多資安保護措施,各自執行特定任務,可惜並未建立整合運行模式。「例如IBM X-Force威脅情報可提供各個產業、不同區域相關資訊,可能是某個IP、URL的信譽評等較差,或是已經被揭露的漏洞,但儘管重要性高,卻無法全數涵蓋,除非有能力進一步釐清攻擊組織所採用的戰術、技術與流程(TTP),才可讓MSS擁有更詳盡的情資,以便啟動因應策略。」謝明君說。
現階段市場上積極探討的是發展建立預警機制,在尚未釀成災難之前就予以攔阻。以往的資安回應方案,通常都是事後才著手依據狙殺鏈的不同階段執行調查,但既然已累積大量的威脅情資,並且也運用機器學習演算技術運行分析,理當有能力先一步掌握惡意行徑,讓MSS供應商提早警訊降低資安事件發生率。謝明君透露,「這正是IBM資安發展的方向。在MSS範疇中,威脅情資與獵捕扮演相當重要的角色,補強傳統MDR只專注在端點、派工系統的不足之處,使得攻擊活動潛伏時間被有效縮短,能夠盡快執行隔離、阻斷等處理。」
威脅獵捕與情資輔助事件調查
自2018年資安領域開始出現MDR服務項目,許多人視為是EDR工具所衍生,謝明君則認為,事實上並非如此,可能僅就資安工具本身部分重疊而已,畢竟EDR定位很明確,主要在端點記錄運行方面的資料;但是MDR範圍更大,主要特性是增添了威脅獵捕、情資等資安專業知識來輔助。
當然,若現階段已部署EDR工具的企業,再採用MDR難免會有重複,IBM提供的MSS會預先規畫設計以避免浪費投資,謝明君舉例,客戶需求產生時,會先釐清已經導入部署的EDR,以及配置模式,即便是第三方的技術,IBM亦可透過整合方式統一監看。以實際案例來看,當攻擊流量產生時,統一控管平台可即時掌握威脅活動的相關資料,MDR服務會主動通知客戶,同時透過X-Force執行調查,並且立即採取行動。
至於調查分析的方法,資安業界愈來愈多基於MITRE ATT&CK框架來實施。MITRE主要用意是把狙殺鏈流程中,開始到最後結束的階段,各有必須執行的項目予以觀念化,並且貢獻到開源社群。當偵測發現攻擊活動時,可參考此矩陣所列,以更精準地釐清活動階段,並且指出具體可觀察的行為指標。
IBM大中華軟體研發實驗室開發經理郭澄祐指出,如今的駭客工具如同開架式商品,居心不良者只要到黑市或暗網中採購殭屍電腦、攻擊工具,或是訂閱惡意程式變種服務,加以整合即可針對特定產業發動攻擊。
假設攻擊者鎖定的目標轉移到OT環境,在防禦力相當薄弱的情況下自然很容易滲透;若攻擊目標防守較為嚴謹,可能得從頭開始理解OT環境中的生產線、上中下游使用者慣性的行為,投入相當多的時間深入研究,最後未必能達到預期效益。「因此駭客組織多數有產業別之分,主要是跟利益與投資成本直接相關。同樣的,駭客攻擊早已演變成產業,欲與之相抗衡自然也得具備駭客產業的領域知識。」郭澄祐說。
MITRE ATT&CK則並無太多產業別的資訊。就以橫向移動來說,前一步驟是必須成功滲透,可能透過釣魚網站或郵件等方式執行,只要對照MITRE矩陣,即可讓IT管理者理解該惡意程式通常發生在初期階段,萬一追蹤後發現該事件發生在幾個月前,更應該立即全盤性調查,找出最初用戶點選開啟後觸發的攻擊程式。參考MITRE矩陣可知,當釣魚郵件或釣魚網站成功後,下一步通常會進行橫向移動,按照攻擊者活動行為設定Playbook逐步執行,防守者可參考模擬行為模式,追蹤查看究竟是否有資料因此外洩。
參考國際公信力指標設計資安回應Playbook
不論是EDR代管或MDR服務,主要強調的偵測與回應程序兩者本就高度相關,且往往需要專業資安人才來執行,若委由外部廠商來提供專業服務,確實更能為企業帶來效益。就IBM Resilient SOAR平台來看,部署模式可內部自建,亦可交由IBM雲端資料中心代管,讓回應處理程序可藉此平台協同合作,縮短耗費的時間。
郭澄祐進一步說明,Resilient研發設計的回應處理程序,第一步必須要有計畫,假設IT人員對於資安已經有基本認知,遇到勒索軟體時,首先可依據檔案的Hash值進行搜查,先掌握內部流向,一旦發現立即阻斷並重建作業系統。問題是,資安事件回應過程中通常會出現許多例外,例如釣魚郵件發生在昨天與數月前,嚴重等級有所差異,此外,若被勒索軟體感染的對象是高層管理,嚴重等級又得再提升。因此資安事件回應程序往往無法依據規範按表操課,必須具備領域知識,並且累積許多處理例外狀況的經驗,再依據產業特性適時調整因應措施。
IBM全球資訊安全部門全球威脅情報防禦產品協理謝明君(左)與IBM大中華軟體研發實驗室開發經理郭澄祐指出,資安領域人才的知識缺口,並非在於操作各式各樣控管工具,而是認知外部現有的威脅狀態,學習判斷MITRE整理提供的慣用手法清單。
由此看來資安事件偵測與回應只有執行原則,無法制定出一套標準,如此情況下,也就難以基於Workflow來自動運行,而是設計Playbook,就如同電玩遊戲的攻略手冊,讓執行者有所依循,調整設計合適的工作流程。郭澄祐引述IBM於2018年委託Ponemon執行的市場調查報告,多達七成以上的受訪者認為組織裡不存在通用且合適的資安事件回應計畫,事實上,國際間不乏可參考的指標,例如SANS等單位,會提出見解與做法,來定義執行階段、檢討改進、逐步改善,皆可基於資安工具來實作。
簡單易於上手為工具設計的首要精神,但是若IT管理者未能熟悉操作、善加利用,大約僅能發揮三成功效。畢竟軟體工具須因應多數企業現況而設計,勢必不會有相同的Playbook,所以企業採用後,IBM亦可提供額外的客製,藉此與時俱進,逐步改善以貼近應用所需。
【專題報導】:MDR委外偵搜 阻敵於未遂