為了強化網路安全,過去IT業界提出很多概念來突顯所要著重的層面,像是:主動防禦(Active Defense)相對於傳統的被動防禦(Passive Defense),積極式防禦(Proactive Defense)相對於一貫採用的反應式防禦(Responsive Defense),而在主動防禦策略的發展上,這幾年開始有人提倡網路威脅獵捕(Cyber Threat Hunting),希望發展出一種能夠不斷反覆執行的作法,所針對的主要目標是防守方的內部網路威脅,執行相關的搜尋、辨識,並且提升對於敵對勢力的理解。

關於網路威脅獵捕的定義,目前可追溯到的起源,應該是2013年發表的美國陸軍網路空間作戰白皮書《THE U.S. ARMY LANDCYBER WHITE PAPER 2018-2030》,在網路空間防禦作業的部分,提出相關的描述。

例如,將獵捕視為反偵查的同義詞,而且表明這類作業執行的主要環境,就是在陸軍的內部網路,負責的任務,包括:調動部隊、守護安全、防禦重要的網路空間領域,以及識別、擊退隱藏的網路敵對勢力,尤其是那些通過自動化系統監控而潛入的部分。

接著,美國陸軍繼續強調,網路獵捕、反情報、反偵查都是在內部運作,而且能夠針對已滲透進來、但尚未展露意圖的種種威脅,做到主動搜尋及標定所在位置;此外,網路獵捕團隊本身需擁有進階的技術能力,可提供強化的防禦態勢,而能保護指令任務執行期間的各種網路環境。

關於網路威脅獵捕的另一個參考定義,則是由美國內政部督察長辦公室提出的。他們認為,為了對抗國家級的資安威脅,我們必須承認,傳統的網路防禦機制,諸如防火牆、入侵偵測系統、防毒軟體,越來越難以嚇阻、偵測日益精良的惡意軟體,因此,組織必須假定電腦與網路系統已經遭到滲透,應該要設法找出隱藏的惡意軟體,而這樣的主動、積極的方法,就稱為威脅獵捕,而且,不只是分析網路流量來發現惡意內容,還要能夠剖析電腦的記憶體,以便找出惡意軟體。

不只是分析可疑與惡意行為與工具,同時,要讓攻擊背後指使者現形

在當前,有不少企業或組織單位,為了強化本身的資安防禦與管理能力,而成立了安全維運中心(SOC),而具備這樣的專屬資安團隊之後,下一步該怎麼做?其實,可以考慮採取網路威脅獵捕,因為這會更聚焦在敵對者的明確界定。

一般而言,攻擊者若要造成傷害與破壞,需要下列三個要素配合,那就是:意圖、能力與時機,而網路威脅獵捕人員的工作,就是要在他們所在的企業或組織環境內,從既有的網路與系統當中,找出具備這些條件的敵人,而不只是等著其他單位發布威脅警報或入侵指標(IOC),然後再予以反應;同時,網路威脅獵捕者必須得到單位本身的充分授權,以便收集足以鑑識可疑與惡意行為的資料,並且部署反制措施,達到積極預防的效果,將可能導致的降低減至最低。

因此,網路威脅獵捕在實施的時候,需要特定的分析能力來配合,而且,獵捕的目的主要就夠辨識與反擊內部既有的威脅,因此,負責搜尋這些威脅的人員或團隊,需熟悉企業的整體運作方式,以及業務與IT維運的流程,並且能夠產生相關的攻擊假設、實際執行調查。

基本上,威脅的存在是跟「人」有關,尤其是敵對人士,所以網路威脅獵捕者的搜尋重點是在這個部分,而不只是攻擊者所採用的工具,像是惡意軟體。因為這些主導攻擊發動的人員,在行動上,是更為持續且同樣有應變的彈性,所以能夠經常突破網路防禦而侵入,而這也是相關威脅被視為進階持續威脅(APT)的主要理由,因為難以防禦的部份,並非只是對方的攻擊能力,同樣也牽涉到針對目標能夠發起攻擊,以及維持長期運作的活動能力。

熱門新聞

Advertisement