次世代資安防禦－網路威脅情資淺談

近年來網路快速蓬勃發展，迅速且複雜的特性讓企業面臨嚴峻的網路威脅挑戰，網路罪犯者能針對特定的組織、產業和客戶進行網路攻擊。時至今日，資安攻防已是不對稱戰力之競爭，單一企業愈來愈難以對抗有組織、且專業分工的駭客集團。在新的網路戰場上，威脅來自於世界各地，企業應意識到若要面對全新的威脅需要有強大威脅情資 (Cyber Threat Intelligence) 收集能力，企業決策者可利用網路威脅情資做出符合目前外部威脅趨勢及最正確的資安決策指示。另外，產業間的威脅資訊分享機制能有效提供早期資安預警情資、聯防與資安防護改善的良性循環，以降低資安事件發生衝擊及企業營運被迫中斷之風險。

什麼是網路威脅情資 (Cyber Threat Intelligence)？

古語有云「知己知彼，百戰不殆」，於瞬息萬變的戰局中，如何事先了解自己，也了解敵人，才能有效作出最好的判断。網路威脅情資即是指一種以情資為主導的對抗策略，如有效運用的話，可協助企業了解網路罪犯者入侵所使用之戰術、戰策及程序。目前網路罪犯者很清楚威脅情資的重要性，不僅僅會收集情資，也積極分享情資幫助其他犯罪者利用相關漏洞開發更強大的惡意軟體與攻擊技術。反觀一般企業都還是處於被動應急方式進行對抗，未能有效利用威脅情資所帶來之效益。

網路罪犯者長期以來分享相關威脅情資，相對而言企業之間交流進展相對緩慢，直到近期政府積極建立重要關鍵資訊基礎設施領域之資安資訊分享及分析中心 (ISAC)、才開始有效充分推展威脅情資之分享觀念。藉由社群間之分享，可即時性得知該產業特有的惡意攻擊行為及程式，若有產業間的威脅情資交換，及分享自身檢測到的惡意軟體樣本，即可有效且於最短時間內的進行防堵，避免資安事件持續擴大。

網路威脅情資類別說明

網路威脅情資可分成三大類別：可行動型資安資訊 (Actionable Intelligence)、戰術型資安資訊 (Tactic Intelligence)、戰略型資安資訊 (strategic Intelligence)。

1. 可行動型資安資訊 (Actionable Intelligence)

可立即進行比對、封鎖之情資，如：惡意存取行為所使用的中繼站IP (C&C IP)、釣魚郵件網域、惡意軟體檔案雜湊值 (Hash) 及威脅指標 (IOC)。

2. 戰術型資安資訊 (Tactical Intelligence)

透過間接蒐集得知最新攻擊手法與外洩資料，如：地下駭客市場與暗網監控、弱點資訊、個資外洩事件、網頁攻擊及入侵事件。

3. 戰略型資安資訊 (Strategic Intelligence)

透過長期研究駭客組織及駭客行動，見而推測、預估下一波可能的資安趨勢，如戰術、技術和流程 (TTP)、發動攻擊者 (Actor) 及任務 (Campaign)。

與風險共存，建立威脅情資管理機制

網路罪犯者隨著戰術轉變找尋新的攻擊途徑時，企業也不得不跟著強化其機制以確保具備有效的防禦措施。針對威脅情資管理規範，多數組織 (如NATO、FS-ISAC) 皆參酌NIST Special Publication 800-150 Guide to Cyber Threat Information Sharing為主要參考規範，協助組織如何進行導入威脅情資管理機制。

威脅情資管理機制基於主動偵測、搜集、分析、處理及報告，搜索公開 / 非公開網路上是否存在敏感資訊外泄、最新型態攻擊手法，或即時產業資安情報，使得企業能夠掌握資安趨勢脈絡，進一步制定防禦政策及風險評估。威脅情資要發揮價值，必須要有足夠且強大的情報網路且融合各資安專家及深度資料分析能力，有效取得重要且即時威脅情資 (如：弱點管理、攻擊手法 / 型態 / 工具、產業資安情報、外部資產風險評估等)，並且針對企業不同層級之需求提供不同面向之威脅情資。

一般來說，威脅情資生命週期流程依序蘊含「威脅情資來源規劃」、「威脅情資蒐集或購置」、「威脅情資處理及去識別化」、「威脅情資分析」與「威脅情資內外部訂閱」五個環節。

威脅情資為企業所帶來之效益

1. 快速識別企業內外部網路安全現況：

通過威脅情資有效運用，企業能針對外部威脅環境完整進行掌握，從而依據威脅環境之變化，可有效設計及部署相關安全措施及檢測重點；同時企業如針對威脅態勢能獲得更完整之掌握時，高階管理階段更能做出有效及明確之安全決策。

2. 有效縮短了事中應變時間

通過威脅情資分享與分析，原本看似互不相關的資訊能相互進行關聯，並可讓資安事件應變團隊 (CSIRT) 更有效確認事件發生的來龍去脈，加速確認資安事件發生手法及範圍。

3. 有效提高防守強度及靈活度：

企業可依據外部現況攻擊策略、技術及程序 (Tactics, Techniques, and Procedures, TTPs) 快速偵測、應對，使防禦從被動變為主動。

結論

企業當務之急，應將傳統資安防禦能力，提升為主動威脅情資的運用，把外部各種資安情資、內部資訊架構所遭受的攻擊與潛在弱點，統一彙整至管理階層進行決議，以期有效因應數位科技帶來的資安風險，並將威脅情資淬煉為戰略策略，提升企業內部事件反應速度及增加企業外部威脅掌控能力，真正達到掌握情資．制敵機先之目標。