為何在地情資對資安防禦具有關鍵性的影響

NEITHNET 解決方案

NEITHNET 資安實驗室

什麼是在地情資?

  在資訊高度發達的時代,資安威脅已經不分國界、地域,成為全球性的挑戰。然而,雖然網路攻擊沒有國界,攻擊手法和目標卻往往帶有濃厚的地域特色,這使得「在地情資」成為了不可或缺的資安資源。

  首先,我們需要明確什麼是「在地情資」。簡單來說,它是指針對特定地區、特定組織或特定行業的資安威脅、漏洞及其對策的相關資訊。這些情資通常包括了當地常見的攻擊模式、潛在的安全漏洞,以及特定於該地區的資安法規和政策等。

  那麼,為何在地情資對於提升資安具有關鍵的重要性呢?即時且具體的在地情資在快速鑑定和回應安全威脅過程中扮演著不可或缺的角色。這些情資不僅涵蓋了攻擊的具體細節,包括漏洞利用、惡意軟體部署等,更重要的是,它們揭示了攻擊者的行為模式。這種深入了解攻擊手法,對於縮短應變時間、提高應變效率至關重要。尤其當我們考慮到駭客往往針對特定產業、上下游供應鏈,乃至使用類似系統與應用程式的目標時。透過分析這些攻擊事件,我們可以在時間軸上追蹤到攻擊者的脈絡與連結,發現他們的行動模式與偏好,這對於防禦同類或未來攻擊極為重要。

  此外,針對繁多的資安事件,資安相關從業人員肯定都收集了大量情資,但是各企業的資安應變小組的人力高低不一,NEITHNET 汲取多年網路資料中心(Internet Data Center,IDC)維運經驗,了解龐大的入侵指標 (Indicator of Compromise,IOCs) 帶來的通常是巨量的告警。為了讓應變團隊的有限精力能著眼在重要的資安告警,我們引入了不同場域的IOCs精煉方法論。在學理上我們依以下幾點進行分類:

量身打造的在地情資

  第一,攻擊手法具有地域性特點。不同地區的網路攻擊者可能偏好不同類型的攻擊方式,這可能與當地的網路環境、技術水平以及目標系統的特點有關。因此,掌握在地情資可以幫助資安人員更精準地預測和識別潛在的威脅,從而採取更有效的防禦措施。

  例如,在不同地區流行的通訊軟體和人力招募公司的攻擊案例中尤為明顯。在台灣,LINE是廣泛使用的通訊軟體,駭客便常常利用偽造的LINE訊息進行釣魚攻擊,試圖誘使用戶點擊惡意連結或下載附件。這些攻擊不僅限於個人用戶,企業員工也常常成為目標,因為他們可能透過這些訊息獲取看似合法的工作職缺資訊。

  另一個例子,駭客針對在地知名的人力招募公司,偽裝發送帶有惡意軟體的職位招募郵件。這些郵件設計得與真實的招募廣告難以區分,當求職者試圖下載履歷表範本或點擊職位連結時,便可能不知不覺的安裝了惡意軟體。這些針對在地流行應用和服務的攻擊顯示,駭客充分利用了當地用戶的習慣和信任,進行針對性的網路釣魚和病毒散佈活動。因此,了解和掌握在地情資對於資安人員來說是極為關鍵的,它能提供更精確的預測和識別這些根據地域特徵量身訂做的威脅,從而制定出更有效的防禦策略。

  第二,對於特定行業或組織的客製化攻擊日益增多,其中不乏地緣政治的衝突。攻擊者可能針對某一地區的特定行業或組織展開攻擊,利用該行業或組織內部的特定漏洞或弱點。在此情況下,廣泛的資安策略可能無法提供足夠的保護。因此,了解和利用在地情資對於制定有效的資安策略至關重要。

  一個鮮明的例子是,近年來對岸政府支持的駭客組織針對台灣金融業發動了一系列密集的網路攻擊。這些攻擊不僅帶有高度相似的攻擊特徵,還體現了明顯的地緣政治動機,目的在於竊取財務資訊、破壞金融穩定甚至進行政治操弄。

  在此背景下,傳統的一刀切資安策略已無法提供充分的保護。只有深入了解攻擊者的行為模式、攻擊工具和目標選擇,結合在地情資的詳細分析,才能夠為特定行業或組織制定出真正有效的資安防護措施。這些在地情資的運用不僅能提升防禦效果,更能夠幫助資安專家預測未來可能出現的威脅,從而提前準備和應對。

  第三,法律法規和文化差異也是在地情資不可忽視的一部分。不同地區的資安法律法規有著顯著的差異,而且各地對於資安的認識和文化也不盡相同。在地情資可以幫助組織更好地理解並遵守當地的法律法規,同時也能夠針對當地的資安文化和習慣採取更加適宜的防護措施。

  例如,在歐盟廣泛實施的《一般資料保護規則》(General Data Protection Regulation,GDPR),對數據隱私和保護提出了嚴格的要求,這對全球運營的公司而言,意味著必須調整其資安措施以符合這些規定。相比之下,亞洲的一些國家則可能有著完全不同的法規框架,對資料保護的要求和執行程度亦不相同。

  以台灣為例,台灣的《資通安全管理法》要求政府機關與特定非政府機關建立完整的資通安全管理機制,並對資安事件有明確的報告和應對機制。這對於在台灣運營的本地及國際企業在資安策略規劃和實施上都提出了明確要求,企業必須細心考量這些法規,以確保其資安措施和治理流程符合法律規範。

  最後,快速響應和處理安全事件是資安工作中的重要一環。當資安事件發生時,能夠迅速獲得和利用在地情資,將極大提高事件處理的效率和效果。這包括了解當地的資安專家、服務提供商,以及與當地執法機關的合作關係等。綜上所述,可以看到在地情資對於提升資安防護具有重要意義。它幫助我們更精確地識別和預測安全威脅,更有效地制定資安策略,同時確保遵守當地的法律法規,並能夠在資安事件發生時迅速響應。

威脅情資的萃取方式

  另一個重點「情資交換暨雜訊清理」也是NEITHNET持續關注投入的領域,以萃取出精準、高品質的網路威脅情資。在整個平台資料流中,我們部署了許多的爬蟲(Crawler)、解析器(Parser)、提取器(Extractor),為的是處理龐雜且格式繁多的各式情資, 透過持續搜集不斷淬鍊,才能提取出高信度的情資。

  此外,我們將多年來協助客戶處理的資安事件,除去可識別的敏感資訊,將入侵事件拆解成符合 MITRE ATT&CK Framework 的細部流程,以模糊分析策略或是歸納為AI/ML訓練特徵,將其與情資交換暨雜訊清理生態系統進行串接,持續用各式 CTI Report、分散世界各地的 NEITHNET 蜜罐,與真實世界發生的資安威脅事件迭代訓練,過濾掉已失效或證據力不足的情資,再將其依照不同地域、產業與時間分類歸納,為的就是讓客戶能夠專注在真正具有威脅性的資安事件,減少資安維運人員的無效動作。

如何應用威脅情資

  以下為兩種最常見的威脅情資應用方式:

  第一種應用方式如下圖A,威脅情資 (NEITHInsight) 透過API與防護設備(UTM、FW、IPS、IDS、WAF)更新最新情資,將入侵威脅阻卻在節點之外;而若內部已有設備遭受感染,也能夠捕獲腳本嘗試往C2的惡意連線。NEITHNET考量有些設備過於老舊,在比對大量情資時會耗損效能,特別針對該狀況客製小批次情資數據API,讓客戶能快速導入整合。

透過API與防護設備(UTM、FW、IPS、IDS、WAF)更新最新情資

  第二種應用方式如下圖B,威脅情資 (NEITHInsight) 透過API與SIEM/SOC或SOAR更新最新情資,由資安監控中心平台做情資的整合派送,讓應變處理與協調行動能夠更好實現,加速異常事件(Event)判斷為告警(Alert)的處理流程,免去部分的調查與分析人力,判斷可疑活動能逕行封鎖,並發送告警通知(Mail、IM、SMS)給資安管理人員。

透過API與SIEM/SOC或SOAR更新最新情資

  NEITHNET 提供的即時情資整合服務,透過高度客製化的 API,能有效與各種防護設備及資安管理平台進行連結,實現即時資安威脅偵測與防護。在第一個應用方法中,我們專注於與防護設備如統一威脅管理(UTM)、防火牆(FW)、入侵防禦系統(IDS)等進行整合,更新最新的安全情資,幫助企業在網路節點外阻擋潛在威脅,並對內部已受感染的設備提供偵測與阻斷惡意連線的能力。此外,針對老舊設備效能考量,提供小批次情資數據的特製 API,以保證即時更新不會影響系統效能。

  而第二個應用方法中,NEITHNET 強化與安全資訊與事件管理(SIEM)、安全運營中心(SOC)或安全自動化與響應(SOAR)平台的整合,透過集中化的資安監控中心平台進行情資整合與派送。這樣的設計使得應對異常事件到發出告警的過程更加迅速,大大節省了調查與分析的人力,並能即時封鎖可疑活動且通知資安管理人員。

  威脅情資中的「在地」情資在辨識並對抗精心設計的網路攻擊中扮演著關鍵的角色,不僅能夠讓組織更加精確地預測和識別潛在威脅,還能支撐起針對特定地區或產業特性的資安策略,為建立一個更安全的網路環境提供堅實的基礎。因此,若企業能夠擁有精準、客製化、針對不同情境與面向的「在地情資」,將更能安穩的應用網際網路所帶來的便利與效益。

Reference Materials:

  [1]羅正漢(2024)。中小企業屢傳駭客攻擊與資料外洩。iThome,1172,17-21。

  [2]Peng Gao, Xiaoyuan Liu, Edward Choi, Sibo Ma , Xinyu Yang , Zhengjie Ji , Zilin Zhang & Dawn Song. (2022, Dec). THREATKG: A Threat Knowledge Graph for Automated Open-Source Cyber Threat Intelligence Gathering and Management. Cryptography and Security.

  [3]Su Wang, Zhiliang Wang, Tao Zhou, Hongbin Sun, Xia Yin, Dongqi Han, Han Zhang, Xingang Shi & Jiahai Yang. (2021, Nov). THREATRACE: Detecting and Tracing Host-Based Threats in Node Level Through Provenance Graph Learning. IEEE Transactions on Information Forensics and Security.PP(99):1-1

  [4]NEITHNET 資安實驗室( 2022 )。Telegram中文化惡意程式的傳播方式。NEITHNET Blog,https://blog.neithnet.com/?p=1898

  更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com