精彩刺激的球賽似乎和嚴肅的資安防禦搭不上關係,然而其實都存在兩方的角力。球賽由我方球隊和敵方球隊廝殺,資安攻防賽則由企業資訊資安團隊,對決神出鬼沒的攻擊族群(或稱駭客族群)。
本文分為5階段,分析資安攻防賽如同球隊準備上場比賽、乃至收集對手情資,直到實際對陣等,每階段都需戰戰兢兢,才能達到完全比賽(perfect game)。
階段1:報名比賽
當企業踏上數位轉型之路,導入各類聯網裝置與線上系統,甚至資料上雲,企業即是報名了資安防禦比賽,正式面對與駭客的賽局。
企業需要盤點聯網裝置(又稱端點)、帳戶權限清單、資訊資產清單等,方能全面掌握自身強弱處。(了解如何運用 NIST 資安框架,盤點企業資安防禦力)
階段2:對戰表公布
相較於球隊參與比賽,會由主辦單位規劃與公布對戰表,球隊能夠明確預先知道對手是哪一個球隊。而資安攻防賽則需企業多方收集資訊,預先判斷敵方實力,具體作法包含:
- 閱讀到資安威脅新聞,企業人員應運用高層次、戰略型威型情資,反思企業是否面臨風險,掌握對手與其可能的攻擊範圍
- 獲得可行動型的威脅情資,掌握入侵指標(IoC),包含惡意樣本、惡意中繼站、駭客慣用的社交工程手法等,作為找出對手的手段。
- 借助威脅情資供應商提供的分析報告,得知發生於相關產業的攻擊事件,進一步確認自身環境的安全性;也可根據分析報告,了解對手是誰、攻擊動機與目標(如:癱瘓工廠產線、竊取商業資訊、竊取消費者個資)
根據前述資訊,企業掌握可能的敵方,也可針對其近期行為,確認自身是否可能在攻擊範圍之內。(威脅情資有三種,詳細介紹見此文)
敵方的完整資訊側寫需涵蓋該攻擊族群的慣用手法、攻擊目的及來源國家,這皆須威脅情資供應商專家團隊長期深度觀察,基於攻擊狀況,進行分類。而側寫更會指出攻擊族群背後由不同勢力所支持(常見是由國家級單位支持),如同美國職棒大聯盟的洋基隊由洋基全球企業集團持有、日本職棒的北海道日本火腿鬥士隊是由日本火腿株式會社注資。
階段3:分析敵情
如同球隊掌握對手基本資料後,需要透過觀察過去比賽紀錄、影片,進一步掌握與分析敵隊能力,如: 慣用戰術、防守配置、擅長球路。
而資安攻防賽中,當企業掌握特定一至數個攻擊族群較可能對自身造成影響,企業應進一步取得攻擊者入侵手法(TTPs),即是:
- 戰術(tactic): 以宏觀層次描述描述網路攻擊
- 技巧(technique): 提供攻擊的完整脈絡,如攻擊者使用的工具、利用了哪個漏洞
- 程序(procedure): 說明完整的攻擊過程
企業若能瞭解攻擊者的入侵手法,可以更好地保護系統,免於遭受攻擊;更有助於調查和追蹤駭客的行動,以便找到攻擊來源,並採取適當的對策。
階段4:賽前訓練
球隊於正式上場前,需要多輪集訓,培養球員默契,建立團隊合作模式。而資安攻防賽中,企業迎向攻擊族群,也需按部就班,進行模擬訓練,以便在實際攻防中,成功防禦企業資安,具體措施如:
- 擬定應對的策略,規劃營運持續計畫、資安事件應變劇本
- 選用適合的資安解決方案輔助,如同選用適合的球具
- 進行紅藍隊演練 : 經由了解對手情資,做到模仿對手可能的戰術與技巧,自行演練,抓出目前需要加強的方向
- 強化作戰能量,進行教育訓練
- 摘要情報蒐集成果,進行跨部門溝通
最重要的,上述資訊包含紅隊演練、詳細的事件劇本與駭客背景說明與技術實力,都宜摘要成非技術導向的報告,進行跨部門溝通,也與企業高層溝通,以規劃足夠的預算,完成相應的準備計畫。
威脅情資在此階段,同樣扮演讓溝通更有效果的重要角色。如同球隊參照過往比賽,對手如何使用擅長的技巧擊敗該次輸家,企業則透過威脅情資,了解之前資安事件,受害企業是如何被入侵系統、被攻破防禦;如同比賽以分數論勝敗,企業也可從威脅情資獲得過去受害企業損失多少金錢;而比賽的勝敗影響了球隊的人氣、粉絲支持度,企業遭攻擊的負面事件也會使企業損失品牌聲譽;最後,企業綜合上述面向,即能得出有效對應的方針,迎向資安攻防賽。
階段5:比賽開始
企業專注商業營運,而資安攻防賽並不是企業樂見的事情,但若真正開打,除了企業已配合的資安代管服務,也建議依照資安事件嚴重性,尋求資安事件應變團隊(incident response, IR)的專業服務,及時解決問題,防止災情擴大。
在此階段,如果有威脅情資協助,可以增加這些外援團隊判斷的效率與準度,更妥善、有效地處理資安事件。
球賽不只眼前的這一場,資安攻防也不只當下此刻面臨的事件,與駭客的比賽是無限賽局,企業宜持續提升資安韌性,而採用威脅情資更是關鍵點。
TeamT5 杜浦數位安全團隊專精網路威脅研究,掌握深度專業威脅情資,並提供威脅偵測應變代管服務(MDR) 與端點偵測與回應解決方案(EDR)。已協助美日臺大型企業有效保護商業機密文件,營運不受網路攻擊影響。
輕鬆展開企業資安防禦第一步,立即聯絡我們: https://teamt5.org/tw/request-information/
關鍵字: 球賽、棒球賽、籃球賽、資安懶人包
Related Post
產品與服務
2022.12.10
威脅情資: 企業面對資安威脅的關鍵
cyber threat intelligence, Threat Subscription
IR 服務深度介紹
2023.01.08
如何與資安事件應變處理團隊合作? 能夠獲得什麼協助?
incident response