資安威脅你畫對重點了嗎？CTIA威脅情資分析專家，讓你比駭客更快一步

作者
恆逸資深講師 唐任威

猶記將近二十年前，在跟老外學習駭客攻防手法的時候。
老外的教導是「low-hanging fruit first!」意即從唾手可得的目標先開始攻擊。這種思維符合當時大部分攻擊者的心態 – 只要亂槍打鳥即可，打到誰是誰！

以這種思維回到資安防護策略，其實在作法上只要讓自己不要變成最後一名，基本上都不太會成為駭客的目標。這就像是路邊停了一整排的機車，如果是漫無目的的偷車賊，那麼小偷所挑選的車子，肯定是最好偷的那一台！ 但時至今日，資安防護還能抱著這樣的心態嗎？

灰犀牛橫行！你注意到了嗎？

回顧近年來所發生的資安事件。有瞄準金融機構搶了幾十億美金的集團駭客；有帶者強烈政治軍事目的的國家駭客；有為了展現自我實力而把網路搞得翻天覆地的無良駭客；甚至還有為了金錢到處恐嚇勒索的恐怖駭客。這些與日俱增的資安威脅，都宣告我們正處於資安灰犀牛時代！

灰犀牛指的是人們身邊已時刻充滿帶有巨大威脅的龐然大物，但缺乏警覺性的大眾對此卻恍若未見。一旦這些龐然大物開始衝撞，那麼被衝撞的對象肯定會有嚴重的後果。

相較以往，今日駭客都具有高度目的性。未達目標，絕不放棄！所以他們的攻擊經年累月；為達目的，不擇手段！因此每一場攻擊都是針對性的客製化攻擊；並且他們攻無不克，因為這些人不只是個中老手，甚至個個好手！而業界則將這類具有高度目的性、目標性的攻擊者稱為 Advanced Persistent Threat (APT；進階持續性威脅)。

以近幾年台灣的資安事件為例，不管是銀行的 ATM 遭駭，或是跨國轉帳系統被入侵，乃至科技廠產線中毒全毀。這些跟上述的 APT 攻擊都脫不了關係。更甚至台廠 PC 供應鏈被捲入大型的網路攻擊事件成為 APT 攻擊的幫凶，都時有所聞。在這種情形下，你還覺得下個受害者不會是你？

主動防禦！認識敵人！

傳統的資安防禦屬被動，駭客打那來，就擋那去。但問題在於現今駭客的滲透力極強，採傳統被動的資安防禦，就只能每天被駭客追著打！因此想要有效防禦，心態上要先做調整，化被動為主動，搶在駭客之前，方能制敵機先。

Know Your Enemy (KYE；認識你的敵人) 是制敵機先的第一步。因為唯有比駭客更了解駭客，才有機會搶在駭客前主動防禦。而 Cyber Threat Intelligence (CTI；網路威脅情資) 就是此背景下所衍生出的新興服務。

把網路威脅情資當成新興服務恐怕有人不能認同。畢竟打從有網路攻擊開始，威脅情資這件事就已然存在。但隨著近年來攻擊者越加的專業，研究攻擊者的廠商們也變得更加專業。而專業成熟到了某種程度就有價值。而價值當然可以轉化為服務提供給客戶。這就是網路威脅情資為什麼跟其他資安措施一樣可以成為抵擋攻擊者手段的原因。

何謂網路威脅情資？

想要瞭解敵人可以先透過 WHO、WHY、HOW 這三個層面開始。誰在打？為何打？如何打？待釐清這些問題後，接著就可以訂定出更完善的防護策略保護組織的資訊安全。
分析「誰在打？為何打？」其目的在釐清敵人是誰及其動機為何？乍看下，搞清楚這二件事似乎對組織的資安無益？但其實不然，因為在釐清敵人及動機後。組織可以利用這些情資確認資安風險，避免誤判局勢。並且藉此決定資安投資方向，擬定完整資安防護策略，投入足夠資源進行資安防護，避免蒙受重大損失。透過策略及方向面切入，擬定資安大戰略。
至於分析「如何打？」則是戰術與技術層面。戰術面透過分析敵人的 Tactics, Techniques, and Procedures (TTP；戰術、技術、程序)，在資安設備上可以用來設定更精準的規則以偵測、阻擋敵人。而技術面則可以藉由掌握攻擊者的攻擊資源，如惡意主機、域名、程式、病毒行為等。定義出更精準的 Indicators of Compromise (IOC；入侵指標) 有效的清除消滅敵人。

如何收集威脅情資？

情資的分析首先必須先有資料。而資料的來源則可以分為內部跟外部。
內部資料的收集可以是資安事件所留下的記錄。或者各式資安設備、網路服務所產生的日誌。這也是為什麼組織內部如果有導入 SIEM，威脅情資已經先做好一半。
而外部資料的來源就相當多元。如廠商們所發布的各式威脅情資報告、各資安單位 (CERT、ISAC 等) 所發布的資安通報。此外也有專業的威脅情資廠商或開源組織所提供的資料餵送服務及付費或免費的 Threat Intelligence Platform (TIP；威脅情資平台)。這些都是不錯的外部資料來源。

如何分析威脅情資？

而在收集到足夠的資料後，下一步就是分析資料進而產出情報。情報分析跟目的有很大的關聯性。取決於目不同，分析所使用的方法也不一樣。常見分析方式如下：
➤6Ws (或稱 5W1H) 分析法
透過釐清「是誰 (Who)？為何 (Why)？如何 (hoW)？什麼 (What)？那裡 (Where)？何時 (When)？」把網路威脅說清楚，進而擬定行動方針。
➤獵殺連環分析法 (Cyber Kill Chain)
此為全球知名軍火製造商洛克希德馬丁公司所提出之網路威脅分析法。透過將網路攻擊行為標準化為七個階段，進而以這七個階段為基礎做為阻殺攻擊者的依據。
➤入侵分析之鑽石模型 (Diamond Model of Intrusion Analysis)
以敵人、設施、能力、受害者為基礎元素的分析法。以四個元素為中心軸轉 (pivoting) 出更詳細、完整的網路攻擊活動。是一種深度與廣度兼具的分析方式。
➤假設競爭分析法 (Analysis of Competing Hypotheses)
此為美國中情局所提出的情資分析法。藉由明確的證據檢驗各種不同的假設，以此做為決策分析的依據。

如何運用威脅情資？

最好的情資一定是「可行動情資 (Actionable Intelligence)」也就是在知道這些資訊後可以採取某些措施，藉此達成一定目的。否則這些情報只會淪為紙上空談，對事情一點幫助也沒有。情資運用與其類型有關。一般可以分為戰略、行動、戰術與技術四類。這四類情資的運用如下：
➤戰略 (Strategic)
戰略情資屬高階情資。主要是讓如資安長的高階經理人作為資安防護策略規劃的參考依據。其重點在組織營運所面對的資安風險並採取那些策略可讓組織避免危害。
➤行動 (Operational)
行動情資屬中階情資。主要是讓如資安官等專業經理人掌握當下組織所面的資安威脅與攻擊，透過運籌帷幄避免當下這些資安威脅所造成的傷害。
➤戰術 (Tactical)
戰術情資屬中低階情資。主要是讓技術人員在第一線可以快速應變與處理發生中的資安威脅。藉由精準掌握駭客手法，有效打擊駭客！
➤技術 (Technical)
技術情資屬低階情資。這類情資的週期短、變化快，稍縱即逝。主要用於資安設備，透過自動化部署可以加速威脅的偵測與阻擋。資安設備的規則、設定與各種入侵指標都屬此類型。

結語

時代已然不同！舊地圖找不到新大陸！舊思維也擋不住新威脅！資訊時代是快速變動時代，一切飛快的改變！思維、軟體、系統、電腦！當然包括駭客們也是如此！因此在資安防護時，倘若不換顆新腦袋恐怕難以有效抵擋駭客。
傳統思維，只要我不是最後一名，我就不會是駭客的菜！但現今時代，一旦被鎖定恐怕就難逃魔掌！這也是為什麼這個時代大家都開始強調資安韌性 (cyber resilience) 的原因。想要有效抵擋駭客，只能比駭客更快一步。而發展網路威脅情資就是邁出步伐的開始！

恆逸EC-Council C|TIA威脅情資分析專家認證課程

不論您是具實務經驗之網路系統資安人員、資安從業人員、或對威脅情資分析有興趣的人，C|TIA課程將教導您從事前規劃需求、事後蒐集分析並散布有利的情資共享給社群的完整過程，更能有邏輯的從短、中、長期與不同層級的規劃來蒐集情資並有效分析與處理。

🔺 看更多課程介紹

🔺 查詢開課時間