資安事件常發生在細微之處,如果不特別注意,很可能無法及時應變與處理。
作為 ATT&CK 攻擊框架的提出者,美國資安非營利組織 MITRE 卻也面臨了 APT 的攻擊事件。
從 2024 年 1 月開始,威脅行為者透過兩個 Ivanti Connect Secure 零日漏洞:CVE-2023-46805 和 CVE-2024-21887,偵查 MITRE 組織旗下的網路,並挾持連線階段(Session),繞過雙因素身份驗證流程,藉著橫向移動,深入挖掘 MITRE 網路的 VMware 基礎架構,同時使用複雜的後門和 webshell,以便持續存取 MITRE 內部網路環境,取得帳密資料。
資安事件的過去、現在與未來
MITRE 處理此資安事件的過程,值得我們去探討與學習。其一,組織要防堵資安事件的發生,偵測(Detection)是非常重要的,需要即時偵測場域中的異常行為;其二,利用網路隔離不讓攻擊者直搗核心,讓傷害在可控範圍內。更重要的是威脅情資(Threat Intelligence),當漏洞發生時,可以對場域做評估與處理。在與攻擊者交戰(Adversary Engagement)過程中,該怎麼採取措施,讓損害降到可以控制的範圍內。
當資安事件發生,透過一系列的事件處理流程,不外乎是從資安事件的「過去發生什麼事?」、「現在該如何應處?」以及「未來如何強化應對?」三面向來了解:
- 攻擊者最初的進入存取點為何?
- 攻擊者是否有散播到其他資源?例如橫向移動是如何傳播?
- 攻擊者是否已在環境中立足?如果是,持續控制的方式為何?
- 對於企業的衝擊為何?例如個資外洩等。
- 如何可以防止不被再次攻擊?
先一步掌握攻擊過程,擬定資安維運策略
根據 TeamT5 長期以來資安事件處理的經驗,攻擊初始多肇因於帳號密碼外洩,漏洞也是重要成因。對於資安人員來說,每天要注意的不僅是攻擊組織帶來的資安威脅,更需要掌握場域內的資產狀況,特別關注資產相關的最新漏洞資訊。此外,藉由掌握攻擊者的攻擊過程,並落實在日常資安維運,提升組織防禦能力。
從網路攻擊鏈(Cyber Kill Chian)可掌握資安事件發生前、事中到事後的各個環節。網路攻擊者透過偵查了解環境、研究曝險弱點,進入環境安裝內網滲透工具,最後根據攻擊者的最終目標,採取行動,例如 APT 藉由潛伏環境竊取機敏資料、勒索軟體則加密核心重要資訊等。
相對應攻擊事件的過程,我們可從美國國家標準與技術研究所(NIST)所發布的網路安全框架 CSF 2.0,歸納出場域管控可依循的標準、對策及防禦措施:
在事前,透過紅藍隊演練來了解場域中,有哪些資產可能會有風險,及早準備。當資安事件發生,需要偕同外部事件應變專家協處,了解攻擊來源、後續阻擋、事件分析等,雙方之間的協作也很重要。這些對策和防禦措施統整之後,才能在事件發生時做有效應變。
攻擊者虎視眈眈,如何強化資安韌性?
Gartner 發佈 2024 年網路安全重要趨勢中,特別強調資安韌性(Resilience)的重要。根據 NIST 所定義的網路韌性,是當組織遭遇網路攻擊時,可能會面臨到的狀況,例如服務中斷、資料外洩、加密勒索等,該組織處理與復原的能力,以及如何增強面對未來攻擊的防禦能力。
因此,要強化資安韌性,就必須考量到如何優化事件回應規劃。例如事件調查耗費時間,如何在短時間內做回應?同時,被攻擊後如何快速恢復系統運作?因此優化與協力廠商的合作極為重要,才不會在事件發生時手忙腳亂。
藉由事件處理的經驗,可以檢視以下面向,提早準備以強化資安韌性、降低損害:
1 資產安全狀況:場域中有多少資產受網路衝擊?狀況如何?
- 攻擊面分析:場域中可能被攻擊者利用的進入點分析研判。
- 掌握威脅情資:掌握與組織相關的威脅情資,例如 APT、暗網、勒索族群等,對於資產會造成什麼影響?
- 判定風險優先順序:就所掌握的資訊,研判場域風險狀況,提供後續應變處理所需建議。
- 風險處置管理:針對重要資產的備份恢復、調查所需資料取證,在事件可控狀態下,恢復營運,並完善事件調查所需程序。
- 掌控場域狀況:針對所採取的應變措施,持續監控掌握場域狀況,觀察是否仍有惡意攻擊,並清掃場域中隱藏的惡意威脅。
更多 TeamT5 資安事件應變處理服務:立刻了解
Related Post
產品與服務
2023.07.09
如何依據 NIST 資安框架,檢查企業資安防禦狀況?
cyber security, cyber governance
IR 服務深度介紹
2023.11.27
資安事件應變處理服務 評估與採購重點
incident response