第 11 届台湾骇客年会抢先看:4 大防御策略让企业不怕资安

第 11 届台湾骇客年会 HITCON 2015 即将于今年 8 月 26 日(三)~29 日(六)举行,前 2 天为企业场,后 2 天为社群场。为了鼓励台湾企业 IT 与资安人员更了解 HITCON 台湾骇客年会,主办单位特别举办网路直播,希望透过资安专家第一手的资讯分享,可以鼓励更多负责企业 IT 与资安人员,了解更多资安攻防的眉角。

此次网路直播总计分成 3 场,第一场 6 月 25 日举办,由 HITCON 顾问邱铭彰担纲,分享台湾资安怪现象;第二场在 7 月 2 日登场,由 HITCON 议程组主席分享重要的 HITCON 议程主轴,也分享台湾政府上半年面临的资安威胁。(之后将有相关整理提供~)

最后一场,则由 HITCON 台湾骇客年会总召蔡松廷(网路暱称 TT)领衔,藉由分享网路威胁情报(Cyber Threat Intelligence,CTI)对企业资安防护的价值,以及如何从骇客角度看失败的企业资安案例。

完整的网路威胁情资可以让企业更了解骇客,更能保护自己

网路威胁情报是近年来资安研究最火红的议题,蔡松廷指出,若能够掌握足够的网路威胁情报,就可以更了解你的敌人(例如骇客),才更有机会做到制敌机先、「勿恃敌之不来、恃吾有以待之」。

像是漏洞资讯,尤其是零时差漏洞(Zero Day Exploit)便是一种重要的网路威胁情报,他举例,在 7 月传出义大利协助各国政府进行各种监控和研发间谍后门程式的业者 Hacking Team 遭到骇客入侵,外洩包括电子邮件和文件超过 400GB,其中,有许多该公司高价购买的零时差漏洞(例如 Adobe Flash Player)也遭外洩,已经有许多骇客团体在攻击程式中,纳入 Hacking Team 外洩的零时差漏洞,以提高成功攻击的机会。

企业遭受骇客攻击入侵同样也不是新闻,许多中大型企业,往往愿意採购各种资安设备抵御骇客的入侵,但却还是有些企业依旧受骇,例如,资安公司卡巴斯基的研究也揭露,台湾有一间品牌电脑製造商企业凭证遭窃,「当企业连凭证都会遭到骇客外洩时,也意味着,骇客对于该间企业的内部网路已经如入无人之境,可以随意来去不受限制。」蔡松廷说。

这也是传统资安面临的共通问题,他指出,许多企业愿意投资在各种资安设备,也会採购各种防毒软体、防火墙、入侵侦测防御系统(IDP)甚至是整合威胁防御系统(UTM)等,甚至,可能有资安团队负责把关。但是,为什幺这样的企业还会遭到骇客入侵呢?

蔡松廷认为,关键的原因在于,受骇企业并不了解他的敌人,无法从各种蛛丝马迹掌握骇客攻击型态或者是入侵手法,即便有足够的资安设备可以提供防护,但每种设备都可能有漏洞或弱点,骇客只要有耐心,一定可以找到入侵的方式。

再者,各种网路威胁警讯过多,不论是各种资安设备的 Log(登录档)、各种入侵警示,甚至是最新型态的资安入侵与攻击手法等,对于资源有限、时间有限、心力有限的 IT 或资安人员,在不计误报率的前提下,到底,哪些警告是需要事先处理的?应该是先将企业的资安资源放置在哪个环节才是最有效果的?甚至于,为什幺企业採购了这幺多的资安设备,却还是会被入侵?到底该採购什幺设备,才能挡住骇客的入侵呢?

蔡松廷说:「如果企业难以避免遭到骇客入侵,企业就得正视骇客会入侵成功的现实,设法领先骇客攻击一步,做好事先的预防之道。」而这个关键就是网路威胁情报为企业带来的价值。

透过这样的网路威胁情报,可以让包含资讯长(CIO)、安全长(CSO)或资安长(CISO)等企业高阶管理阶层,不再是以瞎子摸象的方式,摸到什幺就觉得资安像什幺,藉由透过完整的情报打造企业完整的资安构面。这些资安威胁情报则包含骇客的攻击手法、特徵、背景等等。

企业资安防御 4 步骤,靠网路威胁情报变得更聪明

现在各种资安业者也意识到网路威胁情报的价值,也会提供各式各样的资安白皮书或者是资安报告供企业参考。那到底什幺才是网路威胁情资吗?蔡松廷认为,所谓的网路威胁情资是一种关于敌人(也就是骇客)的知识,从动机、目的、方法、手法等,透过一套研究方式,收集分析产生有用的资讯,作为保护企业资安资产的重要依据。

这与传统的资讯安全又有所不同,他表示,传统的资安就是提供一堆黑名单,不论是病毒样本、流量、恶意中继站的网域或 IP 等,但是,对于企业有用的网路威胁情资,更得剖析骇客入侵的手法、中继站架构、使用哪些恶意程式种类、沟通模式、攻击意图与目标对象等,绝对不是只有黑名单这幺简单。

蔡松廷认为,企业面临资安威胁时最好的防御策略,可以分成四个步骤,而这四个步骤又彼此环环相扣,成为一个循环,才能真正有效做到「理解敌人并有效防御敌人」。

首先,第一步骤就是预防(Prevent)

蔡松廷表示,企业原本就有许多资安设备的採购,如何在重要节点部署所需要的设备,并且打造一个防御边界抵挡攻击,是企业对抗骇客的第一步。

接着,第二步就是侦测(Detect)

他指出,许多企业被攻击了,最大的盲点在于无法确定攻击是否还在发生中,也不知道在什幺节点发生。因此,除了传统汇入黑名单和更新防毒软体外,多数无法掌握骇客使用的恶意程式和沟通手法,导致企业对于正在发生中的攻击,侦测率都很低。而蔡松廷表示,多数企业因为资安防护能力不足,只能一直在预防和侦测两个环节中疲于奔命。

第三步就是反应(Respond)

「这就是发生资安事故后,资安团队的应变计画,」蔡松廷说,所有企业都会经历这个阶段,但如何让这样的伤害「有价值」,就得看能否在这个骇客攻击事件处理的过程,即时掌握相关的攻击资讯,例如,在有标準作业(SOP),先将受骇电脑完整複製一份作为鉴识之用后,再进行电脑系统重灌,远比直接将电脑系统重灌更有价值。

最后的阶段就是检讨

蔡松廷说,这也是最常被忽略的阶段,找出先前所有犯过错的不足之处,重新回馈有效的防御方式后,再回到第一阶段的预防。如此变成一个正向循环,而这个过程中,更需要网路威胁情报让每一个环节变得「更聪明」。

打造网路威胁情报平台

引进网路威胁情报需要先透过有效率的蒐集、分析、排序和处理资安威胁,打造一套网路威胁情报的计画,包括蒐集感测系统所有资料,描述可供识别的标的(IOC)和相关的战术、技术和程序(TTP),并管理所有的示警和流程,管控受骇範围并回复一套乾净的系统后再重新上线,最后,就是重新创造出可供识别的新标的,同时找出系统的漏洞。

至于,网路威胁情报可以带来哪些价值呢?蔡松廷认为,同样可以从 4 个层面来看,就长期的策略面来看,可以针对公司 CXO 等管理阶层而言,包含执行长、资讯长、安全等,CTI 可以提供可以协助高层做决策的情报;若从短期的维运面来看,CTI 可以提供包含攻击手法、具体的採购策略和合适的设备等,有助于公司 IT 部门主管进行相关的维运决策。

另外,还有长期的战术面,蔡松廷指出,CTI 可以提供第一线处理资安事件的 IT 或资安人员,更详细有意义的攻击者资讯,最后,还可以将相关资讯转换成各种资安设备可读取的机器语言,但机器设备在进行侦测预防的同时,也必须用人做资安问题严重性的判断,而不是只看机器设备汇入哪些资料就够了。

总而言之,网路威胁情报除了协助企业了解现况,也可以让「未知变成已知」,并依照严重性排定优先顺序,像是漏洞修补的顺序,蔡松廷举例,义大利资安监控公司 Hacking Team 遭骇客入侵外洩的 400GB 电子邮件和文件中,就包含 Adobe Flash Player 的漏洞,就应该即刻修补,而非延后。

再者,好的网路威胁情报也可以深入了解敌人,做好资安策略;也可以协助公司高阶主管了解现实,制定更有效的资安策略。最后,网路威胁情报最重要的目的就是协助企业可以「领先威胁」,企业只要比骇客更早一步,就会更有用。

参与技术研讨会,与白帽骇客打造更直接的互动关係

如何获得有效的网路威胁情报,蔡松廷认为,参加各种重要的资安技术会议,藉由世界顶尖骇客分享最新骇客攻击手法,第一手知道骇客採用的技术,何时入侵企业、骇客如何揭露骇客攻击组织的资讯等。

再者,透过这样的技术会议交流,和更多资安骇客与专家直接接触,建立相对应的沟通交留管道。当然,也可以参加各种资安训练课程,例如,从上课中,学会如何将网路威胁情报运用在企业资安设备的部署,透过现场示範,确认网路威胁情报可以带来的实质效果。

报名 HITCON 2015 台湾骇客年会独家赠送 HITCON 2014 完整议程光碟,名额有限报名从速。详情请至