入侵到底怎麼來的
聽了專業資安廠商的建議,買了知名的資安產品,聘請專職人員進行資訊管理,為什麼還是發生了資安事件?這是飽受資安威脅的企業主心聲,也是尚未發生資安事件企業主的迷惘。是因為找的資安廠商不夠專業?還是該資安產品沒有想像中的好?又或者聘請員工的技能不足?一想到又要花更多的資安預算在不確定的刀口上,有些企業寧願選擇賭一把,祈禱駭客目標鎖定在其他的公司。
為什麼需要技術框架
與其選擇祈禱資安威脅不要波及到自己的企業,不如好好思考欠缺的部分到底在哪裡。但問題點就在於沒有一個有效的方法,來盤點自己的企業到底需要什麼,還欠缺哪些沒有補足的技術。如果你有以上迷惘,不妨可以從「資安技術框架」開始著手。
比較知名資安框架是由美國國家標準與技術研究所(NIST)所推出的資安框架 CyberSecurity Framework (簡稱CSF) , 以及基於 NIST CSF 所提出的資安防護模型 Cyber Defense Matrix ( 簡稱CDM),屬於資安防護的前期策略。而針對資安防護的中後期,意即面臨遭遇攻擊入侵過程階段的描繪,早年有網絡攻擊鏈(Cyber Kill Chain)來描述攻擊步驟,而近年來則是由攻擊者思維所制定的資安框架 MITRE ATT&CK Framework,更能夠以駭客的視角來針對網路攻擊入侵進行分類和說明的指南。
MITRE ATT&CK是什麼
MITRE ATT&CK框架是針對駭客攻擊活動的一種共通語言,有助針對入侵手法的描述、分類和理解威脅行為上有一套共通標準。MITRE ATT&CK將入侵流程定義成14個戰術(Tactic),包括:偵查、資源開發、初步訪問、執行惡意程式碼、持續性控制、權限提升、防禦規避、憑證存取、探查環境、橫向移動、資料收集)及事件發生(命令與控制、洩漏及影響)等,並且描述每個戰術所採取的技術(Technique)及程序(Procedure)。它提供了一個結構化的方法,有助於資安專業人員更好理解跟判讀威脅行為。
MITRE ATT&CK Framework 目前制定了14項策略,以下稍作簡單的介紹:
1.偵查 Reconnaissance
在進行入侵前的資訊收集行為,如企業設施或員的詳細資訊。使用收集到的資訊來規劃和執行入侵,確定目標的範圍和優先順序,或推動進一步的偵察工作。
透過收集相關資訊,以策定後續的動作。如果我們可以遮蔽一些關鍵資訊。很有機會讓攻擊者放棄這一次的入侵行動
2.資源開發 Resource Development
試圖建立可用於行動的資源,例如建立控制主機,進行網路釣魚的電子郵件帳戶,或竊取憑證以幫助規避防禦,以進行後續的入侵行動。
3.初步訪問 Initial Access
在這個階段攻擊者會開始嘗試進行入侵(例如管理平台或遠端服務),一旦連線成功後就可以開始進行接下來的行動。
4.執行 Execution
在這個階段攻擊者會開始嘗試執行準備好的程式碼,確認所擁有的資訊以及工具有助於這次的入侵行動。
5.持續性 Persistence
到達一定階段後攻擊者會建立中繼點,避免各式原因中斷入侵行動(例如重新啟動、憑證更改和其他可能切斷其存取權限行為),還能夠持續的進行探勘。
6.權限提升 Privilege Escalation
攻擊者會試圖透過系統弱點、錯誤設定和漏洞,獲得更高的(管理員)權限。
7.防禦規避 Defense Evasion
攻擊者嘗試規避受害者所建置的資安防禦(防毒、漏洞保護等)。以避免入侵的行動遭到阻擋。
8.憑證存取 Credential Access
在此階段攻擊者會從內部的資源,嘗試收集可用的帳戶登入資訊,成功後就可以使用合法的員工身分繼續入侵的行動。
9.探查 Discovery
了解入侵的環境有什麼樣的資訊資源,以執行破壞或者建立第二個入侵點。
10.橫向移動 Lateral Movement
透過受害者的環境再次嘗試進行線,透過內部資源存取無法透過外部連線的主機,且主機對於來自於內部的訪問,資安防護都會薄弱很多。
11.搜集 Collection
收集相關的資訊資源,這些資訊與鎖定目標相關。收集資料後的下一個目標是竊取(滲透)資料。
12.命令與控制 Command and Control
攻擊者用來與受害者網路內受其控制的系統進行通訊。攻擊者會嘗試模仿正常的流量以避免被發現。
13.洩漏 Exfiltration
對手正試圖竊取資料,透過命令與控制建立的通道或備用通道傳輸數據。
14.影響 Impact
攻擊者正試圖操縱、中斷或破壞您的系統和資料,以達成最終目標或為洩漏機密提供掩護。
總結
WIZON 也基於MITRE ATT&CK框架,在每月報告中披露相關訊息,讓事件呈現有別於傳統的高、中、低風險的分類,而可以從攻擊者思維了解到該事件,在入侵的階段中處於什麼樣的進度,並且行為已被檢測出並加以處置。
了解資訊安全框架,特別是MITRE ATT&CK框架,對於個人和組織有多方面的好處。它有助於識別和評估潛在的威脅,使組織能夠提前採取措施,減少風險。並提供了指南和最佳實踐,有助於改進資訊安全措施,確保其符合法規和標準。此外,它也有助於威脅情報分析,預測威脅行為的演變和趨勢,並採取適當的措施。
參考資料來源:
MITRE ATT&CK官網 https://attack.mitre.org/
Comments