第 11 屆台灣駭客年會 HITCON 2015 即將於今年 8 月 26 日(三)~29 日(六)舉行,前 2 天為企業場,後 2 天為社群場。為了鼓勵臺灣企業 IT 與資安人員更了解 HITCON 台灣駭客年會,主辦單位特別舉辦網路直播,希望透過資安專家第一手的資訊分享,可以鼓勵更多負責企業 IT 與資安人員,了解更多資安攻防的眉角。
此次網路直播總計分成 3 場,第一場 6 月 25 日舉辦,由 HITCON 顧問邱銘彰擔綱,分享臺灣資安怪現象;第二場在 7 月 2 日登場,由 HITCON 議程組主席分享重要的 HITCON 議程主軸,也分享臺灣政府上半年面臨的資安威脅。(之後將有相關整理提供~)
最後一場,則由 HITCON 台灣駭客年會總召蔡松廷(網路暱稱 TT)領銜,藉由分享網路威脅情報(Cyber Threat Intelligence,CTI)對企業資安防護的價值,以及如何從駭客角度看失敗的企業資安案例。
網路威脅情報是近年來資安研究最火紅的議題,蔡松廷指出,若能夠掌握足夠的網路威脅情報,就可以更了解你的敵人(例如駭客),才更有機會做到制敵機先、「勿恃敵之不來、恃吾有以待之」。
像是漏洞資訊,尤其是零時差漏洞(Zero Day Exploit)便是一種重要的網路威脅情報,他舉例,在 7 月傳出義大利協助各國政府進行各種監控和研發間諜後門程式的業者 Hacking Team 遭到駭客入侵,外洩包括電子郵件和文件超過 400GB,其中,有許多該公司高價購買的零時差漏洞(例如 Adobe Flash Player)也遭外洩,已經有許多駭客團體在攻擊程式中,納入 Hacking Team 外洩的零時差漏洞,以提高成功攻擊的機會。
企業遭受駭客攻擊入侵同樣也不是新聞,許多中大型企業,往往願意採購各種資安設備抵禦駭客的入侵,但卻還是有些企業依舊受駭,例如,資安公司卡巴斯基的研究也揭露,臺灣有一間品牌電腦製造商企業憑證遭竊,「當企業連憑證都會遭到駭客外洩時,也意味著,駭客對於該間企業的內部網路已經如入無人之境,可以隨意來去不受限制。」蔡松廷說。
這也是傳統資安面臨的共通問題,他指出,許多企業願意投資在各種資安設備,也會採購各種防毒軟體、防火牆、入侵偵測防禦系統(IDP)甚至是整合威脅防禦系統(UTM)等,甚至,可能有資安團隊負責把關。但是,為什麼這樣的企業還會遭到駭客入侵呢?
蔡松廷認為,關鍵的原因在於,受駭企業並不了解他的敵人,無法從各種蛛絲馬跡掌握駭客攻擊型態或者是入侵手法,即便有足夠的資安設備可以提供防護,但每種設備都可能有漏洞或弱點,駭客只要有耐心,一定可以找到入侵的方式。
再者,各種網路威脅警訊過多,不論是各種資安設備的 Log(登錄檔)、各種入侵警示,甚至是最新型態的資安入侵與攻擊手法等,對於資源有限、時間有限、心力有限的 IT 或資安人員,在不計誤報率的前提下,到底,哪些警告是需要事先處理的?應該是先將企業的資安資源放置在哪個環節才是最有效果的?甚至於,為什麼企業採購了這麼多的資安設備,卻還是會被入侵?到底該採購什麼設備,才能擋住駭客的入侵呢?
蔡松廷說:「如果企業難以避免遭到駭客入侵,企業就得正視駭客會入侵成功的現實,設法領先駭客攻擊一步,做好事先的預防之道。」而這個關鍵就是網路威脅情報為企業帶來的價值。
透過這樣的網路威脅情報,可以讓包含資訊長(CIO)、安全長(CSO)或資安長(CISO)等企業高階管理階層,不再是以瞎子摸象的方式,摸到什麼就覺得資安像什麼,藉由透過完整的情報打造企業完整的資安構面。這些資安威脅情報則包含駭客的攻擊手法、特徵、背景等等。
「資訊安全就是一場戰爭,」蔡松廷表示,要打贏這場戰爭,除了要要花時間了解自己的優勢劣勢,做到「知己」之外,更得要花時間了解你的敵人、對手,真正做到「知彼」,唯有知己知彼才能百戰不殆。
現在各種資安業者也意識到網路威脅情報的價值,也會提供各式各樣的資安白皮書或者是資安報告供企業參考。那到底什麼才是網路威脅情資嗎?蔡松廷認為,所謂的網路威脅情資是一種關於敵人(也就是駭客)的知識,從動機、目的、方法、手法等,透過一套研究方式,收集分析產生有用的資訊,作為保護企業資安資產的重要依據。
這與傳統的資訊安全又有所不同,他表示,傳統的資安就是提供一堆黑名單,不論是病毒樣本、流量、惡意中繼站的網域或 IP 等,但是,對於企業有用的網路威脅情資,更得剖析駭客入侵的手法、中繼站架構、使用哪些惡意程式種類、溝通模式、攻擊意圖與目標對象等,絕對不是只有黑名單這麼簡單。
蔡松廷認為,企業面臨資安威脅時最好的防禦策略,可以分成四個步驟,而這四個步驟又彼此環環相扣,成為一個循環,才能真正有效做到「理解敵人並有效防禦敵人」。
蔡松廷表示,企業原本就有許多資安設備的採購,如何在重要節點部署所需要的設備,並且打造一個防禦邊界抵擋攻擊,是企業對抗駭客的第一步。
他指出,許多企業被攻擊了,最大的盲點在於無法確定攻擊是否還在發生中,也不知道在什麼節點發生。因此,除了傳統匯入黑名單和更新防毒軟體外,多數無法掌握駭客使用的惡意程式和溝通手法,導致企業對於正在發生中的攻擊,偵測率都很低。而蔡松廷表示,多數企業因為資安防護能力不足,只能一直在預防和偵測兩個環節中疲於奔命。
「這就是發生資安事故後,資安團隊的應變計畫,」蔡松廷說,所有企業都會經歷這個階段,但如何讓這樣的傷害「有價值」,就得看能否在這個駭客攻擊事件處理的過程,即時掌握相關的攻擊資訊,例如,在有標準作業(SOP),先將受駭電腦完整複製一份作為鑑識之用後,再進行電腦系統重灌,遠比直接將電腦系統重灌更有價值。
蔡松廷說,這也是最常被忽略的階段,找出先前所有犯過錯的不足之處,重新回饋有效的防禦方式後,再回到第一階段的預防。如此變成一個正向循環,而這個過程中,更需要網路威脅情報讓每一個環節變得「更聰明」。
引進網路威脅情報需要先透過有效率的蒐集、分析、排序和處理資安威脅,打造一套網路威脅情報的計畫,包括蒐集感測系統所有資料,描述可供識別的標的(IOC)和相關的戰術、技術和程序(TTP),並管理所有的示警和流程,管控受駭範圍並回復一套乾淨的系統後再重新上線,最後,就是重新創造出可供識別的新標的,同時找出系統的漏洞。
至於,網路威脅情報可以帶來哪些價值呢?蔡松廷認為,同樣可以從 4 個層面來看,就長期的策略面來看,可以針對公司 CXO 等管理階層而言,包含執行長、資訊長、安全等,CTI 可以提供可以協助高層做決策的情報;若從短期的維運面來看,CTI 可以提供包含攻擊手法、具體的採購策略和合適的設備等,有助於公司 IT 部門主管進行相關的維運決策。
另外,還有長期的戰術面,蔡松廷指出,CTI 可以提供第一線處理資安事件的 IT 或資安人員,更詳細有意義的攻擊者資訊,最後,還可以將相關資訊轉換成各種資安設備可讀取的機器語言,但機器設備在進行偵測預防的同時,也必須用人做資安問題嚴重性的判斷,而不是只看機器設備匯入哪些資料就夠了。
總而言之,網路威脅情報除了協助企業了解現況,也可以讓「未知變成已知」,並依照嚴重性排定優先順序,像是漏洞修補的順序,蔡松廷舉例,義大利資安監控公司 Hacking Team 遭駭客入侵外洩的 400GB 電子郵件和文件中,就包含 Adobe Flash Player 的漏洞,就應該即刻修補,而非延後。
再者,好的網路威脅情報也可以深入了解敵人,做好資安策略;也可以協助公司高階主管了解現實,制定更有效的資安策略。最後,網路威脅情報最重要的目的就是協助企業可以「領先威脅」,企業只要比駭客更早一步,就會更有用。
如何獲得有效的網路威脅情報,蔡松廷認為,參加各種重要的資安技術會議,藉由世界頂尖駭客分享最新駭客攻擊手法,第一手知道駭客採用的技術,何時入侵企業、駭客如何揭露駭客攻擊組織的資訊等。
再者,透過這樣的技術會議交流,和更多資安駭客與專家直接接觸,建立相對應的溝通交留管道。當然,也可以參加各種資安訓練課程,例如,從上課中,學會如何將網路威脅情報運用在企業資安設備的部署,透過現場示範,確認網路威脅情報可以帶來的實質效果。
報名 HITCON 2015 台灣駭客年會獨家贈送 HITCON 2014 完整議程光碟,名額有限報名從速。詳情請至: http://hitcon.org/2015/ENT/