觀點

料敵機先 事件處理早一步做

2016 / 12 / 22
陳啟川
料敵機先 事件處理早一步做

企業即使部署資安事件管理平台(SIEM),要在數以萬計的資料中馬上辨別出真正的攻擊並做出回應就像大海撈針,因此威脅情資平台的需求逐漸興起。如果ATM攻擊事件的苦主也有採用TIP/TIS,或許可以儘早亡羊補牢。

在談Threat Intelligence前,請先回想一下APT攻擊流程示意圖(圖1);從一開始鎖定目標進行觀察研究,再依結果製作出攻擊工具,然後傳送到攻擊目標,針對目標的弱點發動攻擊,在控制目標後開始執行惡意工具,並從遠端下載更新惡意軟體或傳送機密資訊,到此完成一個精密的APT攻擊。

                                                                        圖1:APT攻擊流程示意圖

Threat intelligence的功能
企業在面對這類深度有效的針對性攻擊都顯得力有未逮, 即使部署了SIEM平台(Security Information Event Management),要在數以萬計的資料中馬上辨別出哪些是真正的攻擊威脅做出回應就像大海撈針一樣。從攻擊者的角度看,耗費大量心力才完成的精密攻擊只用一次豈不可惜,所以自然會再尋找相同產業或有類似環境的企業再次發動攻擊,因此開始有威脅情資平台(Threat Intelligence Platform, TIP)概念的出現。

TIP主要功能在於能匯集並過濾分析多種不同的威脅資料來源,找出其中的關連,在第一時間找出攻擊者的相關資訊,像是利用弱點、手法、攻擊程式、網域名稱等,再將這些情資整合到其他的設備去偵測(Detect)或阻擋(Block),加速企業組織對網路攻擊的回應與抵禦已知、未知的威脅。

TI 的迷思
Threat Intelligence有時是個相當寬鬆的用語,所以只有企業自己本身才能清楚的知道廠商所提供的產品或服務是否真正具有「價值」,只有對組織有效的防護資訊才能算是intelligence。

TIP介紹
一般說來TIP主要包含了Aggregation、Analysis、Action三大功能。Aggregation主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression) 或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression)或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能結合組織本身的工作流程(Workflow),讓資安、網路等相關團隊能共享資訊以便協同合作進行事件處理;和整合企業既有設備,如SIEM、弱點管理、網路安全等設備,以縮短對威脅的回應時間。

事件處理的過程與結果也會送回平台內記錄儲存,做為後續改善以進一步優化組織IT架構,並將這些情資再回饋到TIP的社群裡,更新擴大TI也提昇整體社群對抵禦類似新型攻擊的能量。 

付費與免付費的TIP
目前TIP有一般商業付費與免付費的解決方案,付費的像是IBM QRadar Security Intelligence Platform、ThreatQuotient的ThreatQ平台,還有LogRhythm的Security Intelligence Platform。像ThreatQ能接收上百種的情資來源(Intelligence Feed),包括商業付費的Del l SecureWorks、VeriSign,開放源碼與私有社群三種來源。

免付費的則有MISP與MITRE CRITS(Collaborative Research Into Threats)。MISP是由MISP使用者所建立、維護與運作的一個社群平台,會員間相互分享全球的網路安全資訊,雖然是免費軟體,也具有直覺的圖形化使用者界面,能輸出OpenIOC、CSV、MISP XML等多種格式以整合IDS等現有設備,並於2016年10月釋出最新的MISP 2.4.52版本。

MITRE則是由美國聯邦政府所資助成立的一個非營利性研究組織,於2013年發表用以表示網路威脅事件內容的STIX標準架構,協助企業或組織社群能迅速的進行威脅資訊的分享。

MITRE CRITS結合了分析引擎與威脅資料庫,並進行資訊的分享以協助組織阻擋攻擊威脅。另外像Threat Connect則同時提供免費與付費的多種版本,網站上也提供不同版本間的功能差異。

TIP與SIEM的差異

 

談到這,或許有些人會有疑問,那TIP和SIEM的差別在哪?沒錯,從某個角度來看,TIP和SIEM功能上的確有不少相同的地方,像是資料的收集與事件關聯等,但兩者還是有其差異(見表1),或者說TIP可用來補足SIEM不足的地方。首先,SIEM主要用做組織內部的資料收集,包括了各個網路閘道設備,和伺服器、PC、NB等終端裝置。而TIP除了內部資料外,更強調來自外部的情資分享收集,以掌握最新的網路攻擊資訊。

再者SIEM接收資料前需要經過適合的過濾分析,否則僅單純的將所有威脅資訊倒入SIEM裡,容易產生過多且不必要的誤報警示,不但增加資安人員無謂的負擔,也容易錯失真正危險的威脅資訊。最後是SIEM著重在資料的彙集,不一定能支援多種的分析工具,而TIP則能利用不同分析引擎,深入解析多種不同的情資來源,找出真正的威脅提供最新的弱點攻擊資訊,協助資安團隊能藉此迅速做出決策與回應。

TIP的挑戰
企業組織建置TIP後,能利用TIP的自動工具加速分析工作來減少處理時間的耗費,且分析引擎會依據威脅的重要性進行區分排序與顯示和特定組織的關連。所以當TIP運作一段時間後,就能針對自身環境找出最有用、精確的威脅來源,做為企業網路風險評估的基準。理想的狀況是當組織企業能了解自己弱點、風險所在後,將這些情資分享到相關的社群,進而推及到整個產業,讓其他相同環境、行業的組織企業都能即時獲取這些威脅情資,如果再遇到相同或類似的APT攻擊時就能馬上予以阻擋,以建立一個安全的網路環境(圖2)。

                                                                      圖2:理想的TIP社群運作模式
 

但在實際運作上,TIP面臨著許多的挑戰。從外在條件來看,需要有足夠的人數加入社群運作才能夠擴大情資來源,再透過不斷的分享更新才能得到即時有效的威脅情資。就內部條件來看,企業組織內需要投注相當的資源與人力(具備技術專業)一段時間後才能看出成效。雖說TIP平台內提供許多的自動工具,但這些工具主要是用來縮短常態性的維護操作時間,不少工作還是需要有人來進行日常的維運。

舉例來說,當遇到一個未曾發生過的事件時,就需要新建一個事件,賦予必要的屬性、分類、威脅等級,甚至是提供伴隨該事件的惡意程式附檔等資訊,這些都有賴技術人員提供專業的判斷。還有,對於管理人員來說,是否願意分享企業組織所遭遇到的攻擊資訊?或可能違反相關的保密原則等都是在建置TIP時要考量的。


 

圖3:TIP考量示意圖


由資安公司所提供的TIS服務
因此,TIP最好是能由一群具有專業技術能力的人來維持運作,並在全球各地網路上去收集攻擊威脅資訊且不斷即時更新,以發揮TIP的最大效益。這樣聽起來有沒有很熟悉?是的,這些就是網路安全公司多年來每天重複在做的工作。

資安公司在全球網路上部署數以萬計的Sensor,也會與各大開放源碼的資安社群合作共享資訊,並從安裝在個人或企業客戶端的產品來獲得實際攻擊的寶貴資訊。接著有專屬的安全實驗室由專業的研究人員7x24小時不間斷的分析過濾這些資訊,並長期累積成獨有的資安Know-How,以隨時提供給客戶即時的更新防護。

所以對於不適合自行建置TIP的組織企業,現在有許多資安公司提供TIS(Threat Intelligence Service)的服務,也就是把TIP平台所產生的TI威脅情資以產品的形式提供給客戶,讓企業即使沒有TIP,也能以TIS的方式立即將TIP的成果直接導入到現有的防護架構中,應用TI阻擋攻擊威脅。

下集:威脅情資服務的選購與評估