進階持續性威脅攻擊是一種可結合多種系統漏洞利用、社交工程(Social Engineering)手法、惡意程式及匿蹤技巧等複雜的網路攻擊方式之統稱。是一種
長期且系統性的攻擊模式,通常會鎖定特定單位或高價值目標,發動有計畫性網路攻擊滲透作業,直到成功入侵為止。
攻擊因為結合複雜的攻擊戰術以及最新的系統漏洞,導致一般使用特徵比對(Signature matching)機制做為網路威脅偵測之資安設備,往往無法跟上攻擊手法之更新速度,因此常常無法在第一時間就發現進階持續性威脅攻擊的存在。因此為了縮短資安防護上的空窗期,降低進階持續性威脅攻擊的成功率以及威脅性,使用情資導向電腦網路防護策略結合外部資安情資,以掌握最新網路威脅以及進階持續性威脅攻擊態樣,才能有效因應進階持續性威脅攻擊以及其他新型態的網路攻擊手法。
貳、資安情資類型
以『資通安全情資分享辦法』(以下簡稱辦法)中的情資定義以及入侵威脅主標(Indicator of Compromise,IOC)兩種方式來進行資安情資的類型說明。
一、資安情資類型
根據辦法第二條,資通安全情資可包含以下7種不同的類型,分述如下:
1. 資通系統之惡意偵查或情蒐活動
攻擊者發動網路攻擊前會進行資訊蒐集以及目標調查,因此此部份情資包含網路掃描以及服務探測等資訊,通常交換的資訊包含掃描IP來源,探測網段或是探測服務類別。
2. 資通系統之安全漏洞
攻擊者可透過系統漏洞進行不同層級的系統服務影響,若攻擊者掌握重大的系統漏洞,就有可能可以從遠端在受害主機上執行任意代碼(Remote Code Execution,RCE),直接入侵系統。此部份情資內容包含作業系統、應用程式等資通訊系統之漏洞敘述,受影響之系統列表與解決措施。
3. 使資通系統安全控制措施無效或利用安全漏洞之方法
攻擊者掌握特定關鍵技術後可透過精心設計的方式繞過(Bypass)系統預設的安全機制來進行系統存取,對系統安全造成重大威脅。此部份情資內容應包含受影響之系統列表、攻擊手法說明以及建議措施。
4. 與惡意程式相關之資訊
與惡意程式相關之資安情資包含了:
(1) 可用來識別惡意程式的雜湊函數值(Hash Value):因為雜湊函數值所具有的單向不可逆特性,通常惡意程式研究人員都會使用雜湊函數來作為惡意程式的單一識別碼,常見的雜湊函數值為MD5,近年來為了避免發生雜湊函數值的碰撞問題(Collision),也有越來越多的研究人員會使用SHA-125,SHA-256甚至SHA-512來做為情資交換的內容。
(2) 惡意程式中繼站(Command and Control)
(3) 惡意程式中繼站是攻擊者用來對受害主機進行控制管理以及資訊收集的中繼伺服器,通常分享的情資內容為IP位置。
(4) 惡意網域名稱(Malicious Domains)
(5) 惡意網域名稱為惡意程式感染主機後對外查詢或是連線的網域名稱,此類型分享情資以網域名稱(Domain name)方式分享。
(6) 惡意程式下載點(Malware Download Sites)
(7) 惡意程式下載點為攻擊者用來散播惡意程式的檔案伺服器,透過分享惡意程式下載點的IP位置,可以即早辨識威脅來源並阻止單位內主機存取。
5. 資通安全事件造成之實際損害或可能產生的負面影響
此部份情資揭露資通安全事件相關資訊,讓使用者可以了解事件影響範圍,情資內容包含殭屍網路中繼站黑名單阻擋資訊,惡意網域黑名單觸發統計等資訊。
6. 用以偵測、預防或因應前款情形,或降低其損害的相關措施
此部份情資提供攻擊相關資訊給使用者進行預警以及預防,情資內容包含惡意程式分析報告、網路攻擊手法頗析或是網路威脅攻擊統計等情資。
7. 其他與資通安全事件相關之技術性資訊
其他不屬於上述類別但可促進資訊安全之資訊,包含網路威脅趨勢預測報告或是其他資安監控報告。
二、威脅指標
若以所交換的資安情資內容進行分解,則可使用威脅指標作為基本元件,將分享的資安情資資訊再劃分為基本指標、預算指標以及行為指標來區別情資內容:
1. 基本指標
基本指標是指在當描述一個網路攻擊或是系統入侵行為時,所能夠被拆解出來的最小基本識別資訊,例如描述網路行為時所用的網路位址(Internet Address)、通訊協定(Protocols)或是目的連接埠(Destination Ports),或是描述系統登入行為時所使用的系統帳號名稱。
2. 運算指標
運算指標是指必須經由資訊系統處理的間接識別資訊,例如可以使用雜湊函數值來作為特定惡意程式的唯一識別碼,或是使用正規標示法(Regular Expression)來表示惡意程式中的特定字串。
3. 行為指標
指標結合了基本指標以及運算指標,使用多種不同的指標用來描述一個完整的網路入侵行為,也可以用來解釋攻擊者發動APT攻擊時使用的戰術技巧以及程序(Tactics,Techniques,and Procedures,TTPs)。
表1-情資類型與威脅指標關係表
參、資安情資識別與交換方式
資安情資在進行分享之前,必須依情資內容之機敏程度以及風險影響層級,來進行資安等級之辨識與分類,才能夠將資安情資分享給正確的使用者。在辦法第四條也有提到依法不得公開分享之情資內容以及注意事項。因此,正確判斷資安情資等級以及使用限制是在資安情資分享與交換前必須做的重要工作。
此外,辦法第九條也有提到資安情資分享方式,接下來也會提到資安情資分享方式以及目前的標準交換系統架構。
一、資安情資識別-TLP交通燈號協定
交通燈號協定(Traffic Light Protocol,TLP)是由事件應變與安全小組論壇(Forum of Incident Response and Security Teams,FIRST)所提出之資安情資識別工具。
TLP交通燈號協定之設計構想來自交通號誌之紅綠黃燈號,將資安情資依據等級,從普通情資到重要機密情資依序使用TLP-白(TLP-White),TLP-綠(TLP-Green),TLP-黃(TLP-Yellow)以及TLP-紅(TLP-Red)四種不同顏色進行標記。除了識別資安情資等級外,TLP交通號誌協定亦註明當情資交換行為時,如何限定授權存取的個人或團體,以及可授權使用何種形式進行交換,例如電子郵件和文件形式。
辦法第九條提到,各機關進行情資分享,應分別依主管機關或中央目的事業主管機關指定之方式為之;若各機關因故無法依前項規定進行情資分享者,分別經主觀機關或中央目的事業主管機關同意後,得以(1)書面(2)傳真(3)電子郵件(4)資訊系統(5)其他適當方式為之。
1. 情資交換之國際標準
Managed Incident Lightweight Exchange(MILE)工作小組定義了多種資安情資以及資安事件的交換格式,包含Incident Object Description and Exchange Format(IODEF),IODEF for Structured Cyber Security Information(IODEF-SCI)以及Real-time Inter-network Defense(RID)。
Mandiant則在2011年提出了另外一個情資交換框架稱為Open Indicators of Compromise (OpenIOC) Framework,而現在國際間最普遍被採用的資安情資分享框架,包含我國國家資安資訊分享與分析中心(N-ISAC)也採用的系統架構是由Mitre所提出,將資安情資的部分由網路觀察資料表示式(Cyber Observable eXpression,CybOX),結構化威脅資訊表示式(Structured Threat Information eXpression,STIX)兩部分進行欄位定義以及情報描述,再經由自動化指標資訊信任交換機制(Trusted Automated eXchange of Indicator Information ,TAXII)進行系統自動化交換。
行政院國家資通安全會報於107年提出『領域ISAC實務建置指引』,供國內各關鍵資訊基礎設施領域主管機關參考,其中就有提到我國現行的情資規範以及交換格式,應配合使用結構化威脅資訊表示語法STIX格式,搭配自動化指標資訊信任交換機制TAXII,並以網路可觀察表示式CybOX進行威脅內容的敘述。
依據此交換機制,我國各領域之相關資安工作團隊就可以使用自動化方式進行資安情資交換,類別可涵蓋威脅指標、安全漏洞、惡意程式資訊、資安威脅活動、資安威脅防護措施以及資安威脅趨勢報告等。如此一來,可以提高情資交換的效率,並大幅增加外部情資取得的可能性以及威脅指標更新速度,有助於掌握最新攻擊資訊以及取得威脅態樣以進行電腦網路防護架構之補強之作業。