洞察关联性加快资安回应

过去几年,一直有研究单位、资安公司提出警告,骇客组织已将攻击目标锁定关键基础设施,除借此获取庞大报酬之外,也造成民众的恐慌。今年5月中油、台塑石油接连爆发遭到入侵的事件,导致捷利卡、中油PAY等支付方式均无法使用。所幸信用卡、现金付款还能正常运作,最终没有造成台湾民众的恐慌。

根据法务部调查局公布的调查报告指出,早在2016年4月,中油内部电脑就已被植入恶意程式,骇客并在2019年9月运用特权帐号搭配PsExec远端管理工具,远端连线到中油内部系统。至于台塑石油方面,亦在2019年9月即被入侵,并在2020年4月被取得特权帐号,让骇客可透过远端方式登入AD伺服器。此种锁定特定目标、长时间潜伏的攻击策略,即是问世多年的进阶持续性威胁(APT)手法。

如何有效侦测和遏制APT所带来的威胁?首先,企业须将现有的资安与资通讯环境资讯与日志记录进行全面的清查及汇整,透过关联分析,查找出异常行为与潜在威胁,阻断APT资安攻击链,达到防患于未然的目的。虽然防火墙、IPS设备等资安设备,都有相应的管理平台来提供监看功能,但仅仅监看日志记录,很难察觉恶意活动之间的关联性,而SIEM(Security Information and Events Management)平台可以提供协助,从看似没有关联的事件记录,发现可能的潜在威胁。

藉由收集并主动解析及正规化不同品牌、设备提供的每一条资讯,导入平台内建的AI/机器学习分析引擎,整合多样情资,进行智慧关联分析,产生的事故告警与MITRE ATT&CK资安攻击链不同阶段对应,以方便资安人员快速了解告警设备在资安攻击链所处的状态,连动资安系统进行防御或执行缓解措施。如此一来,便能察觉潜藏企业内部的恶意威胁,预先进行清除与阻断。

根据统计,全球资讯安全人才缺口高达400万人,宝贵的资安人力应该分析处理更重要的资安事故,而非处理琐碎的例行性事务。适时地引进资安事故协作与自动化回应(SOAR)能力,除能加快回应处理资安威胁事故的速度外,也能让宝贵人力获得最佳运用。资安人员只需要预先针对不同资安事故,制定一套标准的处理流程,SIEM、SOAR内建的告警事故管理系统,可建立跨组织的事故回应协作流程,透过连动脚本(Scripts)或流程剧本(Playbooks)与其他资安与资通讯系统互动,达到回应处理自动化的目的。

然而,即便引进SIEM、SOAR等工具,面对资安威胁,强化员工的资安意识,避免打开来源不明或可疑的邮件、网路连结或档案,方能从源头达到降低资安威胁的风险。

Author: bwh