淺談威脅情資的即時性及有效性

NEITHNET 情資分享

NEITHNET 資安實驗室

  相較以往駭客大都是單兵攻擊,但今日的駭客幾乎都是有組織有計劃性的,甚至後面還有國家的暗中支持。因此每一場攻擊都是針對性的客制化攻擊,而業界將這類有高度目的性、目標性的攻擊稱為Advanced Persistent Threat(APT, 進階持續性威脅)。

 

  擁有威脅情資平台(Threat Intelligence Platform或稱情資資料庫)可以協助公司企業確認資安風險,避免誤判情勢,並且藉此決定資安投資方向,擬定完整的資安防護策略,投入足夠的資源進行資安防護,避免蒙受重大損失。

 

  透過MITRE ATT&CK分析攻擊者的Tatic、Techniques and Procedures(TTP;戰術、技術、程序),在資安設備上可以用來設定更精準的規則以偵測或是阻擋攻擊發生。在技術面上則可以藉由掌握攻擊者的攻擊資源,例如惡意來源主機IP、域名、程式、病毒行為等,定義出更精準的Indicators of Compromise(IoC;入侵指標)有效的清除消滅入侵攻擊。

 

  目前已經知道有許多全球化的威脅情資交換平台,提供有關漏洞(Vulnerability)、IP、Domain、URL、惡意程式(Malware)等相關詳細資訊,供資安工作人員、資安廠商及客戶進行訊息取用、查詢及分享。威脅情資的數量多寡並不是決定情資好壞的主要因素,主要是決定於威脅情資維護的準確性及即時性。一般使用者難以針對威脅情資的優劣去進行評斷,近年來威脅情資提供商也很少會以數量來強調優勢,而是強調對威脅情資資料庫的更新頻率及自動化分析為賣點。

 

  以下分享針對手上獲得的情資資料進行分析,利用一些網路偵搜技巧、蜜罐(HoneyPot)系統的部署交叉分析比對的結果。

 

  根據測試結果顯示,有效的IP或Domain的比例似乎沒有想像中來得高,也表示現實環境中攻擊者使用的IP或Domain的轉換快速可能超過一般人的想像,另一個原因可能是取得的威脅情資並非是最新的情資。

 

  由此可知,威脅情資的即時性相對的重要,依資安實驗室(NEITHCyber Security Lab)對於威脅情資的掌握,除了自建蜜罐系統外,還有各產業領域合作建置蜜罐及流量監控系統,並且可以即時整合蜜罐及流量監控系統所取得的資料,透過Machine Learning機制判斷出攻擊者行為並且記錄其來源,後端資料整合還可以根據其攻擊的對象產業做出分類,並透過特殊的演算法對威脅情資進行排序,最後形成最即時、有效性及產業保護力的獨特威脅情資資料庫。

 

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。