企業資安防護怎麼做？用對 ATT&CK 框架，可使防禦能量倍增

資訊戰影響下，各界在資安意識、資安防護的決心上皆大幅度提升，不僅政府成立數位發展部，以專責部門統籌資安政策；業界亦積極尋找合適方針，檢視自身資安措施是否具有足夠風險應變能力。其中，美國非營利組織 MITRE 所整理的 ATT&CK 資安框架 ，藉由對攻擊面的剖析來檢視資安事件發生的過程，因此被廣泛的應用在企業、政府、社群以及資安產品定位特定威脅和方法之上。有鑑於 ATT&CK 資安框架的易用性，有些企業甚至開始指定以特定駭客組織的 ATT&CK 策略與技巧作為演練範本，期望能藉此建構自身完整的防禦措施。然而，筆者在與企業合作的經驗中觀察到，如果僅仰賴其框架去評估企業的真實風險，可能會陷入倒果為因的誤區。

ATT&CK 框架的潛在兩大誤區

筆者觀察到，若僅仰賴 ATT&CK 特定攻擊族群（Threat Actors）做為執行演練的思維，可能使企業產生兩大盲點，其根本原因在於 ATT&CK 資安框架所列出的戰略、技術和程序（TTPs）無法完全代表每間企業會真實遇到的風險。首先，這份框架是針對各 APT 組織過去、已發生的攻擊行動進行分析，然而每間企業面對的攻擊方大不相同，並非每間企業都會遇上這群假定的攻擊者；且還有更多攻擊者來自於這些單位以外的組織、其攻擊行動也不一定與這些 APT 組織一致。若僅仰賴 ATT&CK Matrix 中特定技巧和 APT 組織去評估自身風險，反而容易忽略在實際情況中企業存有更多容易被利用的高風險漏洞。
 
再者，由於 ATT&CK 資安框架是針對資安事件做事後分析、提出盡可能貼近真實的分析結果，而非在攻擊當下即時觀測並一一記錄受駭單位被攻擊的過程，因此被揭露的手法僅是被檢測到、被挖掘出的有限手法，和真實情況存在一定差異。同時，在圖表以外存在著更多樣的攻擊手法，使這些 ATT&CK 資安框架難以完整地代表企業會遇到的風險。資安框架的目的，在於了解攻擊背後的策略面後，並配合組織資安目標進行系統、資源和人員的調整，進而建構更完整的內部資源因應多樣性的攻擊型態；相反地，若仰賴不夠完整、且非完全符合真實狀況的 ATT&CK 資安框架，企業很有可能陷入漫無目的追逐潛在攻擊者的技巧、反而造成錯置防禦資源的風險。

如何讓 ATT&CK 框架效用最大化？

然而， ATT&CK 資安框架的有限性並不意味著它應該被屏棄，而是企業在使用時應該更小心、採用合適策略及方法，方能最大化 ATT&CK 資安框架的效用。筆者認為，當企業在盤點資安風險時，不宜完全依賴與企業有關的 APT 組織的手法來盤點。相反的，企業優先要務是檢驗自身的核心目標，評估 APT 組織對核心目標可能採取的攻擊策略與技巧，了解 APT 在戰略層級的可能手法，以及這些手法對應到企業內部可能造成的影響，並從中阻斷攻擊鏈，提高攻擊方的攻擊成本。最後要關注的則是不同的 APT 組織手法中是否具有共通點，因為這些共通手法意味著攻擊方較容易達成目標的技巧，也是各企業較有可能遭遇的攻擊方式，因此企業可以透過觀測不同 APT 組織手法的共通點，優先付出更多心力處理。
 
綜上所述，網路威脅複雜性更甚以往，企業在提升資安防護成熟度時，固然可運用 ATT&CK 資安框架作為參考基準，但使用時亦須注意是否有思路上的盲點或誤區。建議資安團隊應先定義企業資安目標與策略、盤點防禦機制的 ATT&CK，並依照框架內容與資安事件核對，再逐步去強化阻斷駭客攻擊鏈的措施，降低最後影響階段發生的可能性。無限追逐潛在攻擊者的技巧，反倒可能放錯重心、錯誤配置防禦資源，若能正確使用 ATT&CK，從策略面真正理解攻、守雙方的資訊及思路，才能有效提升企業資安防護能量，守護高戰略價值資產的安全。

本文為投稿文章，不代表社方立場。原文作者: DEVCORE 戴夫寇爾執行長暨共同創辦人 翁浩正。