過去幾年,一直有研究單位、資安公司提出警告,駭客組織已將攻擊目標鎖定關鍵基礎設施,除藉此獲取龐大報酬之外,也造成民眾的恐慌。今年5月中油、台塑石油接連爆發遭到入侵的事件,導致捷利卡、中油PAY等支付方式均無法使用。所幸信用卡、現金付款還能正常運作,最終沒有造成台灣民眾的恐慌。
根據法務部調查局公布的調查報告指出,早在2016年4月,中油內部電腦就已被植入惡意程式,駭客並在2019年9月運用特權帳號搭配PsExec遠端管理工具,遠端連線到中油內部系統。至於台塑石油方面,亦在2019年9月即被入侵,並在2020年4月被取得特權帳號,讓駭客可透過遠端方式登入AD伺服器。此種鎖定特定目標、長時間潛伏的攻擊策略,即是問世多年的進階持續性威脅(APT)手法。
如何有效偵測和遏制APT所帶來的威脅?首先,企業須將現有的資安與資通訊環境資訊與日誌記錄進行全面的清查及彙整,透過關聯分析,查找出異常行為與潛在威脅,阻斷APT資安攻擊鏈,達到防患於未然的目的。雖然防火牆、IPS設備等資安設備,都有相應的管理平台來提供監看功能,但僅僅監看日誌記錄,很難察覺惡意活動之間的關聯性,而SIEM(Security Information and Events Management)平台可以提供協助,從看似沒有關聯的事件記錄,發現可能的潛在威脅。
藉由收集並主動解析及正規化不同品牌、設備提供的每一條資訊,導入平台內建的AI/機器學習分析引擎,整合多樣情資,進行智慧關聯分析,產生的事故告警與MITRE ATT&CK資安攻擊鏈不同階段對應,以方便資安人員快速了解告警設備在資安攻擊鏈所處的狀態,連動資安系統進行防禦或執行緩解措施。如此一來,便能察覺潛藏企業內部的惡意威脅,預先進行清除與阻斷。
根據統計,全球資訊安全人才缺口高達400萬人,寶貴的資安人力應該分析處理更重要的資安事故,而非處理瑣碎的例行性事務。適時地引進資安事故協作與自動化回應(SOAR)能力,除能加快回應處理資安威脅事故的速度外,也能讓寶貴人力獲得最佳運用。資安人員只需要預先針對不同資安事故,制定一套標準的處理流程,SIEM、SOAR內建的告警事故管理系統,可建立跨組織的事故回應協作流程,透過連動腳本(Scripts)或流程劇本(Playbooks)與其他資安與資通訊系統互動,達到回應處理自動化的目的。
然而,即便引進SIEM、SOAR等工具,面對資安威脅,強化員工的資安意識,避免打開來源不明或可疑的郵件、網路連結或檔案,方能從源頭達到降低資安威脅的風險。
<本文作者:徐嘉鴻現為Fortinet台灣區技術總監>