https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/
https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/

觀點

企業資安防護怎麼做?用對 ATT&CK 框架,可使防禦能量倍增

2022 / 12 / 02
投稿文 / DEVCORE 戴夫寇爾
企業資安防護怎麼做?用對 ATT&CK 框架,可使防禦能量倍增
資訊戰影響下,各界在資安意識、資安防護的決心上皆大幅度提升,不僅政府成立數位發展部,以專責部門統籌資安政策;業界亦積極尋找合適方針,檢視自身資安措施是否具有足夠風險應變能力。其中,美國非營利組織 MITRE 所整理的 ATT&CK 資安框架 ,藉由對攻擊面的剖析來檢視資安事件發生的過程,因此被廣泛的應用在企業、政府、社群以及資安產品定位特定威脅和方法之上。有鑑於 ATT&CK 資安框架的易用性,有些企業甚至開始指定以特定駭客組織的 ATT&CK 策略與技巧作為演練範本,期望能藉此建構自身完整的防禦措施。然而,筆者在與企業合作的經驗中觀察到,如果僅仰賴其框架去評估企業的真實風險,可能會陷入倒果為因的誤區。

ATT&CK 框架的潛在兩大誤區

筆者觀察到,若僅仰賴 ATT&CK 特定攻擊族群(Threat Actors)做為執行演練的思維,可能使企業產生兩大盲點,其根本原因在於 ATT&CK 資安框架所列出的戰略、技術和程序(TTPs)無法完全代表每間企業會真實遇到的風險。首先,這份框架是針對各 APT 組織過去、已發生的攻擊行動進行分析,然而每間企業面對的攻擊方大不相同,並非每間企業都會遇上這群假定的攻擊者;且還有更多攻擊者來自於這些單位以外的組織、其攻擊行動也不一定與這些 APT 組織一致。若僅仰賴 ATT&CK Matrix 中特定技巧和 APT 組織去評估自身風險,反而容易忽略在實際情況中企業存有更多容易被利用的高風險漏洞。
 
再者,由於 ATT&CK 資安框架是針對資安事件做事後分析、提出盡可能貼近真實的分析結果,而非在攻擊當下即時觀測並一一記錄受駭單位被攻擊的過程,因此被揭露的手法僅是被檢測到、被挖掘出的有限手法,和真實情況存在一定差異。同時,在圖表以外存在著更多樣的攻擊手法,使這些 ATT&CK 資安框架難以完整地代表企業會遇到的風險。資安框架的目的,在於了解攻擊背後的策略面後,並配合組織資安目標進行系統、資源和人員的調整,進而建構更完整的內部資源因應多樣性的攻擊型態;相反地,若仰賴不夠完整、且非完全符合真實狀況的 ATT&CK 資安框架,企業很有可能陷入漫無目的追逐潛在攻擊者的技巧、反而造成錯置防禦資源的風險。

如何讓 ATT&CK 框架效用最大化?

然而, ATT&CK 資安框架的有限性並不意味著它應該被屏棄,而是企業在使用時應該更小心、採用合適策略及方法,方能最大化 ATT&CK 資安框架的效用。筆者認為,當企業在盤點資安風險時,不宜完全依賴與企業有關的 APT 組織的手法來盤點。相反的,企業優先要務是檢驗自身的核心目標,評估 APT 組織對核心目標可能採取的攻擊策略與技巧,了解 APT 在戰略層級的可能手法,以及這些手法對應到企業內部可能造成的影響,並從中阻斷攻擊鏈,提高攻擊方的攻擊成本。最後要關注的則是不同的 APT 組織手法中是否具有共通點,因為這些共通手法意味著攻擊方較容易達成目標的技巧,也是各企業較有可能遭遇的攻擊方式,因此企業可以透過觀測不同 APT 組織手法的共通點,優先付出更多心力處理。
 
綜上所述,網路威脅複雜性更甚以往,企業在提升資安防護成熟度時,固然可運用 ATT&CK 資安框架作為參考基準,但使用時亦須注意是否有思路上的盲點或誤區。建議資安團隊應先定義企業資安目標與策略、盤點防禦機制的 ATT&CK,並依照框架內容與資安事件核對,再逐步去強化阻斷駭客攻擊鏈的措施,降低最後影響階段發生的可能性。無限追逐潛在攻擊者的技巧,反倒可能放錯重心、錯誤配置防禦資源,若能正確使用 ATT&CK,從策略面真正理解攻、守雙方的資訊及思路,才能有效提升企業資安防護能量,守護高戰略價值資產的安全。

本文為投稿文章,不代表社方立場。原文作者: DEVCORE 戴夫寇爾執行長暨共同創辦人 翁浩正。