「ThreatSonar Anti-Ransomware 威脅鑑識分析與回應平台」榮獲Computex Best Choice Award 金獎
ThreatVision 深度介紹

從球賽看資安防禦:企業為什麼需要威脅情資

2023.08.13TeamT5 Media Center
Share:
精彩刺激的球賽似乎和嚴肅的資安防禦搭不上關係,然而其實都存在兩方的角力。球賽由我方球隊和敵方球隊廝殺,資安攻防賽則由企業資訊資安團隊,對決神出鬼沒的攻擊族群(或稱駭客族群)。
本文分為5階段,分析資安攻防賽如同球隊準備上場比賽、乃至收集對手情資,直到實際對陣等,每階段都需戰戰兢兢,才能達到完全比賽(perfect game)。

階段1:報名比賽

當企業踏上數位轉型之路,導入各類聯網裝置與線上系統,甚至資料上雲,企業即是報名了資安防禦比賽,正式面對與駭客的賽局。
企業需要盤點聯網裝置(又稱端點)、帳戶權限清單、資訊資產清單等,方能全面掌握自身強弱處。(了解如何運用 NIST 資安框架,盤點企業資安防禦力

階段2:對戰表公布

相較於球隊參與比賽,會由主辦單位規劃與公布對戰表,球隊能夠明確預先知道對手是哪一個球隊。而資安攻防賽則需企業多方收集資訊,預先判斷敵方實力,具體作法包含:
  • 閱讀到資安威脅新聞,企業人員應運用高層次、戰略型威型情資,反思企業是否面臨風險,掌握對手與其可能的攻擊範圍
  • 獲得可行動型的威脅情資,掌握入侵指標(IoC),包含惡意樣本、惡意中繼站、駭客慣用的社交工程手法等,作為找出對手的手段。
  • 借助威脅情資供應商提供的分析報告,得知發生於相關產業的攻擊事件,進一步確認自身環境的安全性;也可根據分析報告,了解對手是誰、攻擊動機與目標(如:癱瘓工廠產線、竊取商業資訊、竊取消費者個資)
根據前述資訊,企業掌握可能的敵方,也可針對其近期行為,確認自身是否可能在攻擊範圍之內。(威脅情資有三種,詳細介紹見此文
敵方的完整資訊側寫需涵蓋該攻擊族群的慣用手法、攻擊目的及來源國家,這皆須威脅情資供應商專家團隊長期深度觀察,基於攻擊狀況,進行分類。而側寫更會指出攻擊族群背後由不同勢力所支持(常見是由國家級單位支持),如同美國職棒大聯盟的洋基隊由洋基全球企業集團持有、日本職棒的北海道日本火腿鬥士隊是由日本火腿株式會社注資。

階段3:分析敵情

如同球隊掌握對手基本資料後,需要透過觀察過去比賽紀錄、影片,進一步掌握與分析敵隊能力,如: 慣用戰術、防守配置、擅長球路。
而資安攻防賽中,當企業掌握特定一至數個攻擊族群較可能對自身造成影響,企業應進一步取得攻擊者入侵手法(TTPs),即是:
  • 戰術(tactic): 以宏觀層次描述描述網路攻擊
  • 技巧(technique): 提供攻擊的完整脈絡,如攻擊者使用的工具、利用了哪個漏洞
  • 程序(procedure): 說明完整的攻擊過程
企業若能瞭解攻擊者的入侵手法,可以更好地保護系統,免於遭受攻擊;更有助於調查和追蹤駭客的行動,以便找到攻擊來源,並採取適當的對策。

階段4:賽前訓練

球隊於正式上場前,需要多輪集訓,培養球員默契,建立團隊合作模式。而資安攻防賽中,企業迎向攻擊族群,也需按部就班,進行模擬訓練,以便在實際攻防中,成功防禦企業資安,具體措施如:
  • 擬定應對的策略,規劃營運持續計畫、資安事件應變劇本
  • 選用適合的資安解決方案輔助,如同選用適合的球具
  • 進行紅藍隊演練 : 經由了解對手情資,做到模仿對手可能的戰術與技巧,自行演練,抓出目前需要加強的方向
  • 強化作戰能量,進行教育訓練
  • 摘要情報蒐集成果,進行跨部門溝通
最重要的,上述資訊包含紅隊演練、詳細的事件劇本與駭客背景說明與技術實力,都宜摘要成非技術導向的報告,進行跨部門溝通,也與企業高層溝通,以規劃足夠的預算,完成相應的準備計畫。
威脅情資在此階段,同樣扮演讓溝通更有效果的重要角色。如同球隊參照過往比賽,對手如何使用擅長的技巧擊敗該次輸家,企業則透過威脅情資,了解之前資安事件,受害企業是如何被入侵系統、被攻破防禦;如同比賽以分數論勝敗,企業也可從威脅情資獲得過去受害企業損失多少金錢;而比賽的勝敗影響了球隊的人氣、粉絲支持度,企業遭攻擊的負面事件也會使企業損失品牌聲譽;最後,企業綜合上述面向,即能得出有效對應的方針,迎向資安攻防賽。

階段5:比賽開始

企業專注商業營運,而資安攻防賽並不是企業樂見的事情,但若真正開打,除了企業已配合的資安代管服務,也建議依照資安事件嚴重性,尋求資安事件應變團隊(incident response, IR)的專業服務,及時解決問題,防止災情擴大。
在此階段,如果有威脅情資協助,可以增加這些外援團隊判斷的效率與準度,更妥善、有效地處理資安事件。
球賽不只眼前的這一場,資安攻防也不只當下此刻面臨的事件,與駭客的比賽是無限賽局,企業宜持續提升資安韌性,而採用威脅情資更是關鍵點。


what-ball-games-teach-us-about-cyber-defense_pic.jpg

TeamT5 杜浦數位安全團隊專精網路威脅研究,掌握深度專業威脅情資,並提供威脅偵測應變代管服務(MDR) 與端點偵測與回應解決方案(EDR)。已協助美日臺大型企業有效保護商業機密文件,營運不受網路攻擊影響。
輕鬆展開企業資安防禦第一步,立即聯絡我們: https://teamt5.org/tw/request-information/


關鍵字: 球賽、棒球賽、籃球賽、資安懶人包
2023.08.13TeamT5 Media Center
Share:

Related Post

為提供您最佳的服務體驗,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權與Cookies使用政策。