網路資安溯源 (cyber attribution),只是單純找出幕後駭客而已嗎?

認識網路資安溯源的重要性、效益及適當的輔助工具,好讓您更有效管理數位受攻擊面的風險。

網路資安風險管理:溯源策略
cyber-attribution-benefits

網路資安風險管理:溯源策略


何謂網路資安溯源 (cyber attribution)?只是單純找出幕後駭客而已嗎?本文說明網路資安溯源的意義、效益,以及如何利用一些資安工具來幫助您執行溯源工作。

何謂網路資安溯源?


網路資安溯源是指追蹤、發掘網路攻擊或其他駭客行動幕後駭客的程序,經由這樣的程序,企業就能完整掌握攻擊的全貌,從而調整未來的網路資安策略。

網路資安溯源真的重要嗎?


網路資安溯源的重要性無庸置疑,只是必定會困難重重。例如,我們很難一開始就掌握「是誰在發動攻擊」或者「是誰在指使他們發動攻擊」。另一項困難是,溯源的過程相當漫長,而且有可能無法在網路資安事件當下立即發揮價值。

很顯然地,明確的溯源有許多障礙必須克服,但這麼做卻有許多重要的理由,包括:執法行動、國際關係、調整未來的資安策略等等。

網路資安溯源的三個效益

1.了解您到底是攻擊的主要目標還是連帶受害者。


最近我們看到勒索病毒集團開始改弦易轍,放棄原本盡可能攻擊更多目標的方式,改而集中鎖定一些比較有利可圖目標。但這並不表示您的企業是他們一開始鎖定的目標。了解您的企業是否為駭客鎖定的目標,有助於剖析駭客:為何他們會看上您的企業?他們想要什麼?

例如,就在俄羅斯入侵烏克蘭前夕,有報導指出至少有六個不同駭客集團對烏克蘭發動了 237 次以上的惡意攻擊,攻擊目標包括:金融、政府、能源以及 IT 產業。

正如先前提到,企業或許無法在遭受攻擊「當下」找出攻擊「來源」。但溯源的工作還是有助於在未來遇到類似情況時,知道該如何因應。例如,一旦兩國的緊張局勢升高,資安團隊應該要有警覺可能遭到敵對勢力的攻擊,並且加強查緝他們偏愛使用的技巧、手法與程序 (TTP)。

2.更充分了解攻擊所用的 TTP 可提高偵測及回應能力。


在事件回應期間,很重要的一項關鍵就是迅速掌握網路攻擊的「方式」。除此之外,掌握攻擊的 TTP 也能為將來在追查來源時指點方向。因為如果能知道駭客偏愛的攻擊方式,就能知道該優先修正哪些資安弱點,如此就能更有效加以回應,進而限制攻擊的範圍。

比方說,前述針對烏克蘭的攻擊大多屬於「破壞性攻擊」,主要目的在於干擾、滲透或破壞烏克蘭的關鍵基礎設施。這些攻擊使用網路釣魚,專門針對上游 IT 服務供應商,並且利用未修補的漏洞來突破企業防線。我們在某些案例中看到特定的破壞性惡意程式,如:CaddyWiper、WhisperGate 與 Industroyer2。像這樣的資訊,對資安團隊來說非常珍貴,因為可作為資安團隊調查及回應威脅的參考指引。

3.協助董事會看到新式資安工具的投資價值。


有時,您或許成功找到了某項網路攻擊的源頭,但卻因為缺乏有效的資安工具而無法限制其攻擊範圍。不過,要說服董事會花錢本身就是一項挑戰。

資安溯源有助於消除董事會高層內心的疑惑和不安,當您掌握了駭客的特徵及攻擊的流程,您就能向董事會清楚展示公司的防禦還有哪些不足之處。

此外,您的報告還應該加入一些財務損失數據,以及投資一套新的全方位網路資安工具能如何降低您的資安風險。這些省下來的財務損失,就能用於實現企業的遠大目標,讓董事明白資安其實是企業的一項助力。

下一步


資安溯源儘管複雜,但目前已有一些輔助工具和框架可以讓程序變得簡單。MITRE ATT&CK Framework 就是一套描述攻擊技巧、手法及程序 (TTP)、攻擊方法以及幕後駭客集團的不錯框架,它能讓資安團隊更有效地將攻擊視覺化,並且更有效針對駭客集團採取回應措施。

根據 MITRE 表示:「建立與使用 ATT&CK 數據分析的第一步就是知道您有什麼資料與搜尋功能。」簡單來說,您無法分析您看不到的東西,所以涵蓋整個受攻擊面的全方位可視性至關重要,尤其是混合雲環境。但不幸的是,零散不連貫的單一面項產品只會導致資料缺乏連貫。

Trend Micro Vision One™ 是我們全方位網路資安平台  Trend Micro One 的其中一環,採用領先市場的延伸式偵測及回應 (XDR)  功能,可從端點、網路、雲端、工作負載及電子郵件蒐集並交叉關聯深度的威脅資料。XDR 能協助資安團隊串聯受攻擊面各生命週期的線索,讓溯源工作更有效率。此外更運用了我們全球研究機構 Trend Micro Research 團隊的威脅知識,再配合趨勢科技 Smart Protection Network 的全球威脅情報來深入分析持續演變的網路攻擊。

Trend Micro Vision One 提供了 MITRE ATT&CK 對應功能來協助資安團隊了解並回應某項攻擊所採用的技巧、手法與程序。同時也讓資安團隊深入查看攻擊的特定環節,進而更快回應並解決資安弱點。

Trend Micro Vision One™  還新增了一項高階主管儀錶板 功能,這是一項參考資安長 (CISO) 意見並專為資安長而設計的功能,協助他們透過一套風險評分架構來了解、溝通、管理網路資安風險。這套全方位的評分方法會根據一些風險因素持續進行動態評估,包括:威脅暴險程度、攻擊風險,以及資安狀況風險。其報表功能可讓資安主管將一些關鍵的資訊以簡潔易懂的方式呈現在董事會面前。

如需進一步了解全方位網路資安平台有哪些效益,請參閱以下文章:

🔴Sandstone CTO 分享如何解決雲端內的網路資安風險
🔴54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!
🔴如何更有效管理數位受攻擊面風險?

原文出處:Cyber risk management:Attribution strategies