歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
企業資安防護怎麼做?用對 ATT&CK 框架,可使防禦能量倍增
2022 / 12 / 02
投稿文 / DEVCORE 戴夫寇爾
資訊戰影響下,各界在資安意識、資安防護的決心上皆大幅度提升,不僅政府成立數位發展部,以專責部門統籌資安政策;業界亦積極尋找合適方針,檢視自身資安措施是否具有足夠風險應變能力。其中,美國非營利組織 MITRE 所整理的 ATT&CK 資安框架 ,藉由對攻擊面的剖析來檢視資安事件發生的過程,因此被廣泛的應用在企業、政府、社群以及資安產品定位特定威脅和方法之上。有鑑於 ATT&CK 資安框架的易用性,有些企業甚至開始指定以特定駭客組織的 ATT&CK 策略與技巧作為演練範本,期望能藉此建構自身完整的防禦措施。然而,筆者在與企業合作的經驗中觀察到,如果僅仰賴其框架去評估企業的真實風險,可能會陷入倒果為因的誤區。
ATT&CK 框架的潛在兩大誤區
筆者觀察到,若僅仰賴 ATT&CK 特定攻擊族群(Threat Actors)做為執行演練的思維,可能使企業產生兩大盲點,其根本原因在於 ATT&CK 資安框架所列出的戰略、技術和程序(TTPs)無法完全代表每間企業會真實遇到的風險。首先,這份框架是針對各 APT 組織過去、已發生的攻擊行動進行分析,然而每間企業面對的攻擊方大不相同,並非每間企業都會遇上這群假定的攻擊者;且還有更多攻擊者來自於這些單位以外的組織、其攻擊行動也不一定與這些 APT 組織一致。若僅仰賴 ATT&CK Matrix 中特定技巧和 APT 組織去評估自身風險,反而容易忽略在實際情況中企業存有更多容易被利用的高風險漏洞。
再者,由於 ATT&CK 資安框架是針對資安事件做事後分析、提出盡可能貼近真實的分析結果,而非在攻擊當下即時觀測並一一記錄受駭單位被攻擊的過程,因此被揭露的手法僅是被檢測到、被挖掘出的有限手法,和真實情況存在一定差異。同時,在圖表以外存在著更多樣的攻擊手法,使這些 ATT&CK 資安框架難以完整地代表企業會遇到的風險。資安框架的目的,在於了解攻擊背後的策略面後,並配合組織資安目標進行系統、資源和人員的調整,進而建構更完整的內部資源因應多樣性的攻擊型態;相反地,若仰賴不夠完整、且非完全符合真實狀況的 ATT&CK 資安框架,企業很有可能陷入漫無目的追逐潛在攻擊者的技巧、反而造成錯置防禦資源的風險。
如何讓 ATT&CK 框架效用最大化?
然而, ATT&CK 資安框架的有限性並不意味著它應該被屏棄,而是企業在使用時應該更小心、採用合適策略及方法,方能最大化 ATT&CK 資安框架的效用。筆者認為,當企業在盤點資安風險時,不宜完全依賴與企業有關的 APT 組織的手法來盤點。相反的,企業優先要務是檢驗自身的核心目標,評估 APT 組織對核心目標可能採取的攻擊策略與技巧,了解 APT 在戰略層級的可能手法,以及這些手法對應到企業內部可能造成的影響,並從中阻斷攻擊鏈,提高攻擊方的攻擊成本。最後要關注的則是不同的 APT 組織手法中是否具有共通點,因為這些共通手法意味著攻擊方較容易達成目標的技巧,也是各企業較有可能遭遇的攻擊方式,因此企業可以透過觀測不同 APT 組織手法的共通點,優先付出更多心力處理。
綜上所述,網路威脅複雜性更甚以往,企業在提升資安防護成熟度時,固然可運用 ATT&CK 資安框架作為參考基準,但使用時亦須注意是否有思路上的盲點或誤區。建議資安團隊應先定義企業資安目標與策略、盤點防禦機制的 ATT&CK,並依照框架內容與資安事件核對,再逐步去強化阻斷駭客攻擊鏈的措施,降低最後影響階段發生的可能性。無限追逐潛在攻擊者的技巧,反倒可能放錯重心、錯誤配置防禦資源,若能正確使用 ATT&CK,從策略面真正理解攻、守雙方的資訊及思路,才能有效提升企業資安防護能量,守護高戰略價值資產的安全。
本文為投稿文章,不代表社方立場。原文作者: DEVCORE 戴夫寇爾執行長暨共同創辦人 翁浩正。
ATT&CK 資安框架
TTPs
攻擊鏈
紅隊演練
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.11.07
2024上市櫃高科技製造業資安論壇
2024.11.08
資安人講堂: 2025必須關注的資安10大趨勢
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.18
Wazuh All-in-one Security Platform 一體化安全平台網路研討會
2024.10.18
超智動化引領企業數位革命,AI賦能助力績效倍增
2024.10.24
企業網路不卡、IT不煩!現代企業網路的必修課
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
超過18000個API 金鑰外洩! 影響多個主流網站使用之令牌
美國CISA:駭客使用「簡易手法」攻擊工控系統
JPCERT分享Windows事件檢視器技巧有助發現勒索軟體攻擊
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵
資安人科技網
文章推薦
Microsoft 推出 2024 年 10 月 Patch Tuesday 每月例行更新修補包
美國最大供水公司遭網路攻擊,部分系統被迫關閉
自動油箱量測系統存在重大安全漏洞,加油站恐面臨遠端攻擊風險