MITRE Engage Active Defense Deception

完整方法論串連情資知識庫 誘餌系統反制偵測迴避

確立資安組態監控基準 欺敵系統實作主動防禦

2022-08-02
在資訊安全領域深耕多年的安碁資訊,以建構完整SOC監控平台與技術服務為基礎,自建通過ISO 17025實驗室認證的數位鑑識中心,結合鑑識服務進行事後應變處理,累積豐富領域知識。近來更積極協助金融業制定組態監控基準,運用MITRE所發展的ATT&CK框架,搭配MITRE Engage發展的解決方案輔助實作建立主動防禦能力。

「行政院針對國內SOC業者進行SOC監控有效性驗證評比,每季公告於資安聯防監控月報。以最近兩季來看,安碁的偵測能力成績為國內業者之冠,顯示SOC監控服務,對於資安事件的可視性、有效性、可靠度極高。」安碁資訊技術副總黃瓊瑩說,安碁近期正積極協助金融業制定組態監控基準,用以評估各家自建SOC監控成熟度。

黃瓊瑩指出,SOC監控的有效性可從三個面向計算分數,首先是行政院所屬機關定期攻防演練,發起攻擊測試廠商的掌握度;其次是技服中心在政府網際服務網(GSN)部署的側錄與監聽可疑連線,資安警訊驗證開單率;第三是機關自主發現攻擊活動當下,資安服務廠商理應收到告警通知。

地毯式逐條整理建構資安監控基準

欲達到精準與完整監控的目標,安碁資訊採用DeTT&CT防禦方法論,須先制定組態設定準則,提高偵測與阻擋覆蓋率,才有足夠資料判別攻擊活動,讓7×24小時監控的SOC服務可制定規則輔助。

DeTT&CT是由荷蘭合作銀行(Rabobank)研究人員於2019年提出的矩陣,目的是將藍隊所採用的戰術、技術與流程(TTP),對應到MITRE ATT&CK框架,藉此得知組織的監控日誌品質、攻擊行為能見度覆蓋率、攻擊行為偵測阻擋覆蓋率。

黃瓊瑩說明,安碁資訊研究團隊統整國際前十大知名金融駭客組織,例如與台灣第一銀行ATM盜領案相關的Cobalt Group、入侵遠東商銀SWIFT系統盜轉帳的APT38,以及成功入侵孟加拉中央銀行、波蘭金融監管單位的Lazarus Group。接著運用藍隊採用的DeTT&CT防禦矩陣,對應至攻擊視角的MITRE ATT&CK,等同於把金融機構常用的資安、網路、應用系統等資安設備發現的異常,對應至上百項駭客攻擊手法,進而針對其攻擊技術解析特徵,產出Micro Focus ArcSight、IBM QRadar、Splunk等三種SIEM平台的金融機構資安監控規則(Rules),藉此擬訂完整符合金融機構所需的資安監控基準。

資安監控組態評估技術工具正確度

各企業所採用的防禦技術、得以偵測到的攻擊手法不盡相同,對應至MITRE ATT&CK框架可準確地評估防禦能量。為了迴避偵測,駭客組織的攻擊手法勢必將持續地變換,第一線防禦的設備若無法辨識,可能得進行微調與優化,同時SIEM平台須擴充監控規則,如此才可確實掌握國際駭客組織攻擊活動。

「安碁資訊研究團隊去年(2021)已完成118個攻擊手法解析,產出對應的金融機構資安監控組態基準,我們準備全部做完,就能在駭客組織發起攻擊活動的第一時間即可系統化地辨識與攔阻。」黃瓊瑩說。

資安監控組態基準是政府組態基準(GCB)的進一步延伸。GCB目的在於規範資通訊設備的一致性安全設定,例如密碼長度、更新期限等規則,以降低成為駭客入侵管道、進而引發資安事件的風險。GCB偏重於靜態設定,但資安監控組態則是從防禦角度評估動態事件發生時,資安設備與系統的設定正確程度,同時以有效監控角度評估涵蓋率與完整性。

交戰、阻斷、欺敵建立主動式防禦

MITRE ATT&CK框架對資安服務的意義,黃瓊瑩認為,不僅可藉此讓團隊與企業採以相同語言溝通,更關鍵的是自我評估防禦有效程度。最初MITRE ATT&CK框架把駭客組織所採用的入侵技術,以系統性的方式彙整為攻擊知識庫,此後MITRE組織仍持續研究主動式防禦,在2020年8月更首度發布定義範圍,提出MITRE Shield與MITRE Engage新舊版彙整的主動式防禦(Active Defense)知識庫,期能協助企業強化資安防禦體系,扭轉攻防不對等的局面。

MITRE Engage定義的交戰、阻斷、欺敵領域,主要是把APT攻擊狙殺鏈應對技術,從「被動偵測防禦」進化至「與攻擊者接觸交戰」,並且主動欺騙、防禦、反制,讓企業資安體系從單純的威脅偵測與防禦,發展到干擾攻擊者活動、獲取攻擊情資、控制攻擊者,徹底扭轉被動態勢。

黃瓊瑩強調,運用既有邊界防禦再搭配內部部署的欺敵(Deception)系統實作,讓攻擊者只要失誤一次就會被發現,如此才有能力把被動防禦轉換為主動。欺敵系統具備學習與融入既有IT環境的能力,例如依據內部網路配置邏輯,增設不存在的網段,用以製造陷阱誘敵深入,誘使攻擊者竊取偽裝的機敏資料,同時惡意行徑也隨之曝光。

當思惟從被動偵測防禦改成與攻擊者接觸交戰,戰術上便會有干擾入侵活動,抑或是運用誘餌中夾帶可發出訊號的機制,攻擊者開啟當下訊號主動回傳到SOC監控中心,即可追蹤攻擊者的所在位置。誘敵深入後掌握情資再對應到MITRE ATT&CK知識庫,則可釐清攻擊活動手法、影響範圍,即時調整防禦措施來應對,讓過去的反應式防護體系與主動式技術相互融合。

安碁資訊技術副總黃瓊瑩指出,安碁資訊主要是引進Attivo部署實作研究主動式防禦技術涵蓋的Engage Activities,對應到的ATT&CK攻擊手法,以及金融監控組態基準,系統化地辨識與攔阻。

主動式防禦場域架構是採以機器學習來模擬建構企業IT環境,誘騙攻擊者。黃瓊瑩進一步說明,當攻擊者透過釣魚郵件滲透內網端點作為跳板進入內網後,在潛伏階段監聽封包,探索與分析關鍵任務系統、Active Directory等重要主機所在位置,再利用中間人等手法騙取高權限帳密,便能利用SSH通道對外連線到中繼站,並且移動到關鍵任務系統植入勒索軟體。然而,實際上攻擊者竊取得到的高權限帳密為主動式防禦技術所產生,橫向移動時存取的關鍵任務系統也是偽裝。

美國國防部與聯邦調查局曾經在2017與2019年發布研究報告,內容是探討主動式防禦機制應用場景與效益,以四種應用場景進行實驗,包含攻擊者不知道是否有部署欺敵系統、攻擊者知道有部署、攻擊者誤以為有部署、攻擊者不僅知道有部署且已掌握技術細節。每個情境都是由同樣三組滲透測試團隊執行攻擊,結果顯示,欺敵系統可降低攻擊者對真假應用系統的判斷準確度,進而稀釋攻擊、拉高時間成本以及複雜度。「有趣的是,只要讓攻擊者誤以為IT環境已部署誘餌系統,不論實際上是否已具備皆可達到相同效果。」
 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!