進階持續威脅攻擊(APT)令人聞之色變,當同業遭受APT攻擊,身為資安人員最想得知的就是入侵指標(Indicators of Compromise, IoC),能據以阻擋攻擊來源以及修補內部資安漏洞。但光是得知入侵指標還不夠,結合對駭客集團攻擊工具與手法的分析得到更完整詳細的威脅情資,並明白該立即採取何種因應之道,才能徹底根除威脅來防範下一個受害者的出現。
對資安分析師來說,去外部訂閱各種威脅情資來源(feeds)如最新弱點、惡意程式等,再加以分析研究並強化內部網路安全是例行性的日常工作。根據研究機構ESG的調查,65%企業會訂閱外部威脅情資來源來協助進行安全決策。平均訂閱4~5種情資來源是常態,也有些企業安全分析師訂閱多達10幾種。然而這些情資來源有些來自於開源碼社群所貢獻,資安分析師可能無法在大數據中辨識出有用的資訊,或是當情資來源之間的訊息有衝突時,該選擇信任哪一方的資訊?再加上如果沒有系統性的統整相關資訊,要手動將相關資訊歸納分析可能都要花上數小時,遑論分析以及採取補強動作。
自動化威脅情資平台提供聯合防禦自動化
IBM X-Force Exchange能夠加以分析各項指標得到具場景脈絡的高階威脅情資,並立刻建議因應行動,包括將情資傳送到IBM安全免疫系統中樞QRadar或透過業界開放標準的格式將情資整合到其他第三方資安設備。IBM X-Force Exchange首席架構師Ron Williams指出,高階威脅情資對企業十分重要,透過瞭解攻擊者的意圖,像是是無差別攻擊或是目標式攻擊,有助於協助企業經營者作出關鍵的決策,畢竟在遭受攻擊的當下,每多一分鐘都會把企業暴露在更高的風險下。
IBM X-Force Exchange是一個具備高協同性的威脅情資平台,擁有三大功能:研究、協同合作、建議行動。說明如下:
-
研究
IBM X-Force Exchange每日分析掃描大量數據包括1,700多萬封垃圾郵件、320億個網頁以辨識惡意程式來源位置與垃圾郵件來源,並透過Quad 9的免費DNS服務來解析釣魚網站與惡意網站。同時監看全球資安代管客戶2萬多個網路設備的運作,能對金融業、零售業與醫療等產業提供深度的產業安全洞察。藉由機器學習與自動化的技術分析海量資料,而機器無法判讀的部分則由安全團隊人工分析,有效降低誤判率。此外,威脅情資資料庫可即時提供最新情資,每5~10分鐘更新到IBM X-Force Exchange訂閱用戶端,提供高精準度的威脅情資。
相較於單純入侵指標只有惡意來源IP、網域或弱點等資訊,經過關聯分析所使用的惡意程式攻擊工具,可得到高階威脅情資,能提供更詳細完整的攻擊過程說明,包括得知攻擊者是鎖定什麼產業、想從何種系統上偷取什麼資料、利用哪些系統弱點、有沒有其他攻擊來源IP、是否透過Twitter發動攻擊指令等。更重要的是威脅情資能將被感染的證據(Host Indicators)如登錄機碼、受感染的程式、事件日誌或記憶體證據(Fingerprint)等,送到端點偵測回應(EDR)軟體中去清查電腦主機是否遭受感染並關閉服務,企業藉此可將系統上的惡意行為斬草除根。而上述相關高階情資都是被儲存在集合(Collection)當中,集合有如專為資安分析師所設計的線上編輯器,可按照既定的欄位來描述情資,讓所有人一目了然。
-
協同合作
在網路犯罪世界中,駭客在暗網論壇分享攻擊目標與弱點,現在好人也必須團結合作。IBM X-Force Exchange讓資安人員可以將任何發現或調查中的惡意IP、惡意檔案雜湊(Hash)值等情資記錄在集合中,可以自由分享出來讓更多人補充。也可設定閱讀權限或透過匿名等方式來發布,或者設定僅為企業資安團隊內部使用,作為內部工作平台。
-
採取行動
得到威脅情資之後,最重要的就是採取因應行動。IBM X-Force Exchange可提供即時阻擋、整合到資安營運系統中、威脅研究與獵捕等三種應用。首先,IBM X-Force Exchange可透過SDK整合既有資安設備或僅提供阻擋列表讓企業自行匯入等兩種方式即時阻擋惡意IP。若對執行效能有高度需求的企業,可採取SDK整合的方式,每5~10分鐘就與IBM X-Force Exchange全球資料庫同步,即時下載最新惡意IP並透過防火牆、IPS、網路閘道器等即時阻擋。
其次,在集合當中描述了許多Host Indicators,這些可以匯出成為一個符合STIX/TAXII標準[1]的情資來源,而QRadar或其他支援STIX/TAXII標準的SIEM平台可以訂閱此情資來源,進而將情資來源內容寫在規則引擎中去檢查內部環境主機、行動裝置是否遭受感染,接著整合EDR進行清除或整合修補工具以更新弱點,將情資整合到既有資安營運環節中。第三,資安分析師想去研究駭客有哪些新的攻擊或可能的新弱點時,也可將IBM X-Force Exchange作為威脅獵捕的平台,用IBM X-Force Exchange提供的API將查詢到的結果帶回到自己內部環境中去研究。
威脅情資平台評估四大要點
IBM X-Force Exchange平台支援整合第三方威脅情資,並且能將情資整合為單一情資來源再統一匯入SIEM平台中,簡化情資的管理。若情資來源之間訊息有所衝突時,X-Force的資安專家能立即給予判定及回饋。目前IBM X-Force Exchange的情資來源資料庫已開放所有研究人員使用,每月可免費搜尋5,000筆的可疑IP位址或檔案Hash值等資料,適合小型企業或校園研究使用。
市場調查機構Grand View Research指出,全球威脅情資市場至2025年將以每年17.4%的複合成長率快速發展[2]。因此在評估威脅情資平台時,IBM建議需考量以下四要素:
-
是否有龐大的威脅情資資料庫以及背後具備可靠的分析以支持資料庫
-
是否有可信的資安專家協助解答情資相關問題
-
產品整合是否能透過業界開放標準直接介接,而不需耗時另寫程式串接
-
所分析出的情資是否誤判率夠低
網路攻擊敵暗我明,威脅情資平台是協助資安分析師縮短事件調查時間,完整地將內網環境中可疑行為斬草除根的最佳利器。
[1] STIX(Structured Threat Information eXpression)是由MITRE組織所開發出來的標準語言,用來呈現網路威脅中的結構化資料以便於協同合作;TAXII(Trusted Automated eXchange of Indicator Information(TAXII™)是STIX的傳輸工具,作為服務以及訊息交換,讓網路威脅資訊的分享不受產品、服務或組織所限制。
Ron Williams (左);李承達(右)
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03
2024-11-30