分類
Information Security

SSL VPN vs VDI

Desktop一般指作業系統的呈現層(使用者介面). Desktop虛擬化可分為遠端(remote)及本地(local)。遠端的Desktop虛擬化的技術有二種: 以VM為基礎(常被稱為VDI)以及與Session為基礎. 這二種方式都可以提供完整的Desktop體驗. 微軟的RDS(Remote Destktop Services)這二種方式都支援. 簡單的說, 遠端桌面的服務可用VM實現(VDI),也可用終端機方式實現(類似傳統的大型電腦). 另外, 本地的Desktop虛擬化大家最熟悉, 就是使用VMWare Workstation或VirtualBox在Windows上裝Linux。

VPN是指利用現有網路建立一個點對點(point-to-point)的虛擬連結(link), 這個虛擬連結專業說法叫作tunnel。L2F,PPTP,L2TP都是傳統建立tunnel的協定(不含加密). 在PPTP通道上傳輸的資料, 最常用微軟的MPPE來加密, 而L2TP則是使用IPsec來作加密. SSL VPN則是使用SSL/TLS來建立通道(client-to-site only)以及作加密,並具有使用browser即可連線及存取資源的方便性。

VDI主要提供使用者桌面服務(可以開放以public IP連線,但較不安全)。SSL VPN只是多加了一層網路存取控制, 也就是從遠端要使用VDI時多作了VPN連線的身份驗證、路由控制及安全傳輸等.

分類
Information Security

MITRE ATT&CK第三轮评估结果发布

https://www.freebuf.com/articles/paper/271494.html

分類
Information Security

Mitre ATT&CK v9

https://attack.mitre.org/versions/v9/

分類
Information Security

戴夫寇爾執行長翁浩正為何不想再當技術狂?溝通與管理才是他資安技能樹的新焦點

戴夫寇爾(Devcore)執行長翁浩正,在今年臺灣資安大會活動上,以自身經驗分享資安人才成長術,指出要成為傑出資安人才,需發展自己的資安技能成長樹,還得以遊戲化的學習方法來精進資安技能團
文/翁芊儒 | 2021-05-05發表

戴夫寇爾(Devcore)執行長翁浩正,今年作為臺灣資安大會資安人才系列活動的開場講者,在活動上以自身經驗為例,分享資安人才成長術。

戴夫寇爾(Devcore)執行長翁浩正,今年作為臺灣資安大會資安人才系列活動的開場講者,在活動上以自身經驗為例,分享要成為傑出資安人才可參考的幾種方法與心態。他尤其聚焦在資安技能的學習上,認為正在學習資安技能的人,應逐步找到自己在產業中的定位,並同步發展適合自己的資安技能樹;而在學習過程中,若以遊戲化的學習方法來精進技能,就能降低因缺乏動力而導致半途而廢的機會。

從自身經驗出發,每一位資安人才都應該找到自己的定位,培養資安技能樹

「Allen,你不再玩技術了嗎?」翁浩正一開始就以他人對他的疑問,來說明自己技能樹的轉變。他表示,自己十年前也是個資安技術的狂熱研究者,近年來雖然仍會花時間研究技術,但在開始經營公司後,受到工作需求驅使,也開始發展策略面、管理面的技能,在原有的技能樹上,長出其他能力。

過程中,他逐步尋找自己的定位,更遭遇了挫折。他在活動上詢問現場與會者,身邊是否有一個天才朋友,對於某項技能的天賦極高,且令人絕望的事,這位天才朋友還比自己還更努力,「遇到這種情況,你要如何贏過他?」

翁浩正點明,在這個情況下,其實可以轉念思考,如果無法在單一技能贏過對方,那何不與對方合作,比如推廣對方的研究成果讓更多人看見,「如何把天才的話語,翻譯成人類看得懂的話?這是我覺得我可以做的事。」他因此開始盤點自己的技能,找出可著力的方向。

翁浩正十年前的技能樹,有攻擊技術、防禦技術、事件調查、程式開發、專案管理、溝通演講、教育訓練、系統網管等技能。

比如說,翁浩正發現,技術成果最終一定要靠溝通、演講來傳遞給更多人了解,因此,他強迫自己要培養溝通的技能,從過去至今累積發表超過300場演講,從5人到上千人規模的研討會皆有,希望透過更精確、易理解的話語來對話與溝通,「讓大家都能聽得懂、感興趣。」

同時,翁浩正也意識到:「相較於一個人作戰,團體戰一定可以走的更遠。」因此,從學生時期開始,他就與學弟妹籌組相關社團,後來也加入HITCON帶領社群,更創辦了戴夫寇爾,參與臺灣駭客協會。過程中,他也重新思考自己的定位,開始精進領導、組織、管理、策略規劃等技能,促成資安圈用打群架的方式,增進群體的資安實力。

「資安人才應去思考自己的優勢在哪裡?」從自身的經驗出發,翁浩正鼓勵,欲從事資安工作的人,應先盤點自己擁有的技能,找出自己的專長,尤其資安領域的技術範疇非常廣闊,從事滲透測試、資安研究、戰略擬定等不同工作者,所需的技能與知識素養都不同,「你要知道你感興趣的領域是什麼,才能專精技能來獲得更高的成就。」

培養資安技能的工具與方法

資安人才在發展自己技能樹的過程中,也有些資料與工具能利用。比如翁浩正就分享了中國一家駭客公司定出來的通用技能樹,其中不只有技術面的必備專業能力,也列出了做事方法的準則、自我成長的心態要點、甚至對於任職企業的信念等,他鼓勵,資安人才可以透過表格來檢視自己,還有哪些不足的能力需要補強。

至於在專業技能的部分,則有一份在Github上的 Hack with Github文件,其中有一個Awesome Hacking專區,當中羅列了不同資安相關技術可使用的工具、可參考的技術文章或書籍,讓資安人才可在了解自己感興趣的領域後,能針對該領域所需的技能來精進自己。

在學會相關技能後,資安人員可能會透過考取相關證照,來證明自己的能力,但翁浩正也提醒,在考照之前,要先了解每張證照的定位,比如透過一份美國資安專家Paul Jerimy製作的資安證照地圖,就能比對每一張證照分屬哪個技能類別,來了解每張證照的定位,「不是考了CEH(Certificated Ethical Hacker,道德駭客認證),就可以去當資安顧問或研究員了,這是不足的。」

發展出自己的資安技能樹後,翁浩正認為,下一步,則是要盤點自己的能力,找出在資安業界的定位,才能了解自己適合哪種類型的企業,進而發揮所長。但客觀盤點自身能力的方法,不是靠自己嘴巴上說:「我很強!」而是要透過與身邊朋友或合作夥伴的對談,來了解自己在合作過程中展現了哪些更突出的能力,同時也要去思考:「有什麼事非我做不可?」來找出自己獨特的定位。

翁浩正建議,可以用三個面向來找出自己在產業中的定位。首先,是盤點自己的資安能力,找出自己與他人差異化的技能。找出這項技能後,同時,也要從市場需求的角度來看業界是否具有這類職位,是否需要這類人才。最後,則是要對這項工作懷抱熱情,尤其在資安領域,每天都有新攻擊手法、技術的演進,「如果沒有熱情,就難以追求新知識,把資安當成職業來做。」

靠遊戲化學習方法,找出精進資安技能的動力

翁浩正也分享,在學習資安技能的過程中,如何能持續不斷的學習?「回想一下,你在做哪些事情的時候可以廢寢忘食?打遊戲就是一個例子。」他指出,遊戲讓人沈迷的原因,在於遊戲具有某些特質吸引人持續性地玩,比如每天都要登入領獎勵、角色被賦予神聖的任務等,讓人感覺自己比別人厲害,從中獲得成就感是一大關鍵。同理,若能將資安技能的學習「遊戲化」,持續學習並精進資安能力,就會變得更容易。

翁浩正以自己學Python的經驗為例,指出自己本來沒有動力學Python,但一位朋友在網路投票的活動上請他幫忙灌票,在這個需求驅使之下,由於用Python寫程式的速度快、複雜性低,他也就以Python來協助完成這項任務。另一個動力,則是來自於過去看網路漫畫下載圖片速度慢,但用Python一次將漫畫抓下來,後續就能更順暢的閱讀。換句話說,學習Python帶來的使命感與成就感,就成為翁浩正精進Python技能的動力。

「我覺得作為一個駭客的駭客精神,不只是要駭入一個系統,更要駭入你的人生(Life Hack)。」翁浩正指出,用遊戲化的精神來進行Life Hack,就能在人生中學習各種技能時,都能更加有動力,且這個論述不僅能套用在資安技能的學習,更可以套用在各類技能學習以及習慣的培養上,「為了健康去運動、跑步、健身房,大家一定都有失敗的經驗,但如果在過程中獲得成就感,就能更容易將習慣養成。」

在培養資安技能的過程中,翁浩正也指出,每個人也要找出自己快速進入心流(Flow)的方法,也就是快速進入非常專注於某件事的狀態,才能更心無旁騖的追求、學習、精進技能。他也分享自己快速專注的方法,就是戴上耳機聽特定的幾首歌曲,而每個人都應有最適合自己的專注方法。

翁浩正也發表看法,指出當前許多人都會以「斜槓」學習了很多技能為榮,但他提醒,不是會下Google廣告,就可以稱為行銷人,斜槓學習了很多技能,可能對每一個領域都只是略懂皮毛而已。因此他也呼籲,在學習資安技能的過程中,不要盲目地想要斜槓學習或發展,而是應該先培養自己精通的第一專長,再根據需求培養第二技能,「每個技能都是武器,武器越鋒利,才能去打仗,獲得很棒的成果。」

跨入職場前可先評估能力與職位是否相符,更要思考興趣當工作的可行性

最後,對於要進入資安產業的求職者,翁浩正提供了相關工具,來輔助資安人才盤點各種工作所需的能力。比如透過國外Cyberseek網站,可以了解各種職業的薪資水平、所需的技能,資安人才就能藉此檢視,自己距離這個職位還有多遠,還要再學哪些技能、考取哪些證照,才能勝任這份工作,「除了薪資的部分,臺灣可能還沒跟上,但其他的資訊可以讓求職者知道自己的定位。」

又比如iThome繪製了一份資安地圖,2021年4月更新到最新版,求職者也可以從中檢視各種資安服務與產品的供應廠商,根據自己想從事的工作類型,選擇有興趣就業的公司來應徵。

翁浩正表示,資安人才的選擇工作時,也要考量到,興趣與職業的權衡,「要不要把興趣當成工作,這是沒有答案的。」他舉例說明,有些人喜歡做打網站,但當資安攻擊成為工作,就需要根據客戶要求來進行攻擊,除了有各種限制,還要公布攻擊工具、把攻擊的結果整理成報告呈現,這不一定求職者選擇這份工作的初衷。

同樣的,喜歡挖漏洞的人,將資安研究當成工作後,每天都要從事資安研究,且一年產出的漏洞數量有限,大多時間是做白工,也不是每個人都能承擔這個壓力。「不要盲目覺得這個工作好棒,要思考,當它成為你的日常生活,你是不是能接受?」

翁浩正最後也提醒:「人生中的每個歷練,都會成為成長的養分。」扣回一開始曾向觀眾提到的,他過去曾覺得自己的資安技術超強,但後來發現,許多努力的天才比自己更厲害,不過在找到自己的定位後,挫折就會成為進化的養分,重新化為成長的動力。

資料來源:https://www.ithome.com.tw/news/144191?fbclid=IwAR1PAaXsiVzh5ZV–5fgKPMYhphEFtBhteoidpjOz9opLxy9SsB4_YMpOLA

分類
Information Security

SEMI

SEMISEMI國際標準計劃是半導體裝置和材料國際(SEMI)為全球半導體, 光電伏打(PV), LED, MEMS和平板顯示(FPD)行業提供的關鍵服務之一. 標準提供了一種方法來應對提高生產力同時又能提供全球商業機會的挑戰. 該計劃在40多年前在北美開始, 於1985年擴大到歐洲和日本的項目, 現在在中國, 韓國和台灣也有技術委員會.https://www.semi.org/en/Standards/P_000787SEMI 6506由TSMC和ITRI帶領的台灣Fab裝置資訊保安特遣部隊專注於研發SEMI檔案草案6506: Fab裝置網路安全規格. 這份檔案界定了Fab裝置的共同最低安全要求, 將成為精靈裝置安全的基線. 所需要的重點將集中在精彩裝置的四個主要組成部分: 它的作業系統, 網路安全, 終點保護和安全監控. 隨著惡意軟體威脅的演變, 需求預計會擴大.

1. https://www.semi.org/en/about/SEMI_Standards

2.http://downloads.semi.org/……/749b1380634ba02388258……3. https://www.semi.org/……/sta……/fab-and-equip-security

分類
Information Security

新世代主動式防禦興起,牽制駭客也成攻防手段之一(下)

MITRE將主動式防禦的各種技術手法進行系統性的歸納,整理成一套知識庫,有助於我們理解主動式防禦中,可採用的戰略與技術手法

為了更好應對攻擊者的入侵行為,MITRE在2020年8月時,公布全新的主動式防禦知識庫,稱之為MITRE Shield,他們並在2021年3月於RSAC 365線上議程透露更多細節,當中指出他們希望進一步透過Shield的戰略與技術手法,扭轉過去網路攻防都是由攻擊者選擇時間、地點與交戰方式的劣勢。

對於MITRE Shield主動式防禦知識庫的發展,連續兩年參與ATT&&CK評估計畫的奧義智慧,也關注此一知識庫的發展,他們認為,在處理資安事件回應(IR)時,就有用到類似的概念。該公司資深研究員陳仲寬指出,欺敵確實在Shield佔了很大的部分,不過他也強調,整個過程的觀察,以及攻擊的互動,同樣是關鍵,尤其是在互動方面。

欺敵、觀察與互動是重點,可視為企業進階的防禦戰略

就以往的資安框架來看,大部分都是聚焦保護、偵測與回應,但都沒有將互動這個要素放進去,因此,也許會需要有一個面向,像是偵測時同時需要互動,才能做到比較好的回應。

更進一步而言,陳仲寬指出Shield的最大意義,是開啟了戰術層級的畫分。比如先引導、監控、互動、持續,再監控,MITRE從防禦者角度,將戰術層級拆分出來。

而這樣的作法,顯然MITRE也是希望能夠複製ATT&CK的成功經驗。現在,MITRE將主動式防禦的各種技術手法有了系統性的歸納,同樣整理為一套知識庫,如此一來,將有助於我們理解主動式防禦中,可採用的戰略與技術手法。

對於這套主動式防禦知識庫的理解,陳仲寬認為,搭配ATT&CK是更好的使用方式。他指出,單獨瞭解主動式防禦的技術手法也行得通,只是缺乏全局觀,雖然知道可採用這些主動式防禦的技術手法,但不知道做這些事情,可以防禦那些攻擊,因此同時參照ATT&CK來應用是更好的作法。而且,目前這個知識庫有許多部分是專注在欺敵,涵蓋面還不夠全面,例如仍缺乏最後階段通常要有的減緩與清除,而在Shield當中,目前只有牽制與破壞的概念較為接近。

他提醒,主動式防禦只是一個面向,並不能完全代表整個防禦體系。更具體一點來看,Shield屬於較進階的防禦手法,所以可能不會是企業第一步就採用的防禦手段。

對此,該公司共同創辦人叢培侃也指出,當企業IT架構與資安防護都已經成熟,想要更進階更主動一點,就可以往這方面思考。

綜合而言,從一開始MITRE對於主動式防禦範圍的定義,我們除了看到欺敵與交戰的部分,同時也包含基本防禦技術與能力。若連基本的安全控制、隔離與監控等都沒有,單使用欺敵方面的技術手法,並不實際。

特別的是,叢培侃也提及,當他們在看這樣的防禦戰略時,其實是倍感親切,原因在於,他們處理很多攻擊事件調查時,也會運用類似欺敵的方式,而他們會使用的場景,就是在處理資安事件回應時——當駭客已經入侵當前這個單位,因此接下來可能會與駭客有直接交戰的機會,就很適合使用,可以讓攻擊範圍及規模限縮,並迫使攻擊者拿出更多壓箱寶的手段。

面對入侵攻擊手法,Shield與ATT&CK可交互運用驗證

另一方面,自從MITRE拓展ATT&CK框架與知識庫,解析了入侵攻擊面,現在他們更是認為,從ATT&CK發展到Shield是自然而然的過程,防禦方若同時使用兩者,其實更是可以有效增強防護能力,畢竟,針對攻擊者行動的ATT&CK,可經常提供防禦者反制的機會,而對於Shield的使用方式,MITRE現在已將主動式防禦的技術手法,對應到ATT&CK的攻擊技術手法,而且可以從攻擊者組織的角度來切入。

陳仲寬舉例,以Chimera這個駭客組織為例,MITRE已經匯整該組織在入侵過程,曾使用過的各式攻擊技術手法,例如Scheduled Task/Job(T1053)就是其一,而要對應這個攻擊來做到主動式防禦的話,就可以使用Decoy System(DTE0017),透過這樣的欺敵技法來應對該攻擊手法。

較特別的是,他還提到另一個由第三方研究人員提出的DeTTECT專案,與Shield的作用有些類似,目的是提供防禦者將ATT&CK攻擊技術手法,與防禦者技術手法作對應,因此也是企業在關注ATT&CK應用時,可以參考的資源。

複製ATT&CK成功模式,Shield盼成進階防禦新利器

而其他臺灣業者又是如何看待Shield的應用呢?臺灣KPMG(安侯建業)顧問服務部執行副總經理謝昀澤表示,他們同樣關注Shield的發展,主要原因是,先前ATT&CK辨識了駭客可能的攻擊手法,相對地,企業防守方就可以透過ATT&CK的技術手法,反推組織內防禦縱深是否足夠,而這樣的思維,有如防火牆規則設計的反向表列的方式,例如設定拒絕的連線,除拒絕的連線外,其他都接受等。因此,如果攻擊者採用了比較奇特的攻擊方式,甚至是ATT&CK中尚未辨別的技術手法,此一攻擊就有可能實現。

而就Shield而言,此一框架提供組織更積極的防守思維,比如臺灣目前的軍事戰略是「戰力防護、濱海決勝、灘岸殲敵」,與Shield裡面針對防守方「殲敵」的方式有共通性,有別於其他如NIST CSF等框架,MITRE Shield提出了Cyber Deception欺敵的概念,此種戰術就是要把敵人引進防禦框架中,除了可辨識敵人使用的工具、排程的作業等,更積極的將攻擊者加以隔絕與殲滅。

因此,KPMG現在除了關注Shield知識庫所提及的機會空間(Opportunity space),也就是在對手採用攻擊技術時,將對方引導至高階主動式防禦的可能性,他們同時也關注使用情境,以及 Shield下一版本的發展。

無論如何,目前MITRE Shield的發展還不到一年,過去ATT&CK在2015年發起後,也是直到2018年才開始廣受市場重視。而在ATT&CK的成功經驗後,Shield在此基礎之上的應用發展,確實也備受企業資安界關注。

就現階段而言,此一主動式防禦在戰術與技術手法層面,都已經有了初步的統整,讓防禦者可以利用,更好地去建立主動式防禦解決方案,而MITRE也表示,未來將持續改進,甚至針對特定駭客組織建立主動式防禦的自動化腳本,因此,未來發展值得企業追蹤與關注。

MITRE ATT&CK整合Pre-ATT&CK, 技術手法分類更細 

在關注MITRE Shield發展的同時,MITRE ATT&CK最近一年的新變化,同樣受到重視。最明顯的改變,就是將原先的Pre-ATT&CK,整合到ATT&CK Enterprise,成為最前兩個階段,分別是偵察(Reconnaissance)與資源開發(Resource Development),因此ATT&CK現在總共畫分14個戰術階段。

而且,這裡同樣提供Shield與ATT&CK的對應,例如在偵察階段的攻擊技法Gather Victim Identity Information(T1589),其對應的主動式防禦技法,包含三種:分別是Decoy Account(DTE0010)、Decoy Persona(DTE0015),以及Network Monitoring(DTE0027)。 

在這樣的整合之下,顯然MITRE正持續將ATT&CK涵蓋面向擴大,不過,奧義智慧資深研究員陳仲寬提醒,日後企業組織在使用ATT&CK時可能需要注意,因為過去的ATT&CK主要聚焦端點偵測與反應(EDR)領域,而Pre-ATT&CK是聚焦威脅情資領域,比較像是與OSINT(Open source intelligence)相關,而使用者要能區分其差異,看待整體ATT&CK才不會誤解。

同時,我們也看到MITRE在將各種攻擊技術手法,有了子項目的細分方式。舉例來說,像是在Phishing(T1566)網釣攻擊手法之下,依據性質不同又可再區分為三種子項目,包含了Spearphishing Attachment(T1566.001)、Spearphishing Link(T1566.002),以及Spearphishing Via Service(T1566.003),而這樣具體的畫分,看起來是可以讓攻擊手法的資訊,能有更直觀的展現方式。

附帶一提的是,ATT&CK評估計畫第三輪在2020年下半已經展開,設想的攻擊對象是Carbanak與FIN7,兩者均是專門攻擊金融業的駭客組織,奧義智慧共同創辦人叢培侃表示,今年參與的資安業者又比上一輪更多,在3月底後應該就會發表評估結果。 

資料來源:https://www.ithome.com.tw/tech/143478

分類
Information Security

新世代主動式防禦興起,牽制駭客也成攻防手段之一(上)

對於資安防禦的強化,企業過去面臨攻擊都是處於被動的局面,近年MITRE新提出了主動式防禦知識庫Shield,成為資安領域新的焦點,目的更是要扭轉攻防不對等的局面

近年資安防護策略的重點,除了從事前防護,延伸到事中偵測與回應,還有一股趨勢正隱隱成形,就是新世代的主動式防禦概念,而且這樣的防禦策略其實更是要與駭客鬥智。

關於主動式防禦(Active Defense)一詞,很早就有不少人使用,來強調與傳統被動式防禦的不同。

舉例來說,過去的定義中,主動式防禦多半強調主動察覺入侵者,而且不只是偵查,還要進行威脅獵捕,而有些基於國家安全的主動式防禦,會從攔截對方攻擊,進一步變成直接反擊破壞,癱瘓對方的基礎架構,然而這種作法並不普及,多數企業存在的本質是營利,而不是資安攻防,因此所謂的主動式防禦仍是處於兵來將擋的反應式處理。

最近,我們看到新一代主動式防禦戰略被提出,雖然仍是採取在防禦範圍內採取有限的行動,但最特別的一點,就是試圖要改變傳統攻防不對等的問題。

企業過去種種的主動式防禦,往往必須大費周章勞師動眾,駭客卻只是略施小計,針對共通性弱點就能大舉入侵,防不勝防。因此,企業除了基本的防護之外,就是要進一步採取主動的方式,透過偵測技術、資料分析與威脅獵捕等,找出入侵資訊或即將發生的網路攻擊,或是搭配威脅情資識別並瞭解攻擊者是誰,再針對敵人採行預防反制行動。然而,兵不厭詐,防禦端也有讓攻擊端摸不著頭緒的作法,例如欺敵技術,但先前只有少數廠商能提供此類解決方案,最近一年來,協助全球進行多項資安相關研究的美國非營利組織MITRE,有了新的答案,可能是扭轉敵暗我明的新機會。

初探MITRE Shield主動式防禦,試圖打破傳統防守劣勢

這兩三年來,MITRE ATT&CK框架在資安界當紅,之所以受到重視,主要原因,該資安框架彙整了現實世界的駭客組織入侵技術,並建立共通語言,整合成一個攻擊知識庫,讓企業與資安產業都受益,值得關注的是,在2020年8月,MITRE又公布了一個關於主動式防禦(Active Defense)的知識庫,稱之為MITRE Shield,再次成為資安防護的新焦點。

關於Shield知識庫的發展,MITRE指出,這個知識庫首先是從2019年由他們的交戰小組(engagement team)建立,目的是要改善作戰計畫,而當他們在整理這些技術手法清單時,他們有了進一步將之組織結構化的念頭。顯然,之前ATT&CK的經驗讓他們有很好的基礎。

關於這個主動式防禦知識庫的不同,我們可從其定義看出差異。根據MITRE定義的主動式防禦範圍,分為三大構面,從基本的網路防護能力(General Cyber Defense),到網路欺敵(Cyber Deception),以及與攻擊對手的交戰行動(Adversary Engagement)。

在今年3月,MITRE更是闡述了Shield的更多內涵。MITRE資安長William Hill在一場線上專題演講表示,他們一直在尋找主動式防禦的真正含意,但卻發現,不論是在網路或其他領域,都沒有完全適合的一種。

而根據MITRE的經驗,他們在十年前處理一起APT事件時,由於對攻擊者的運作瞭解甚少,因此當時他們做出兩個重要的決定。首先,就是學習與觀察,到了足夠瞭解時可提高機會將攻擊者聚於門外,其次,一旦做到第一步,如果還想繼續學習又不希望本身的系統資料有危害,因此,他們建立了攻擊者交戰計畫(Adversary engagement program),目的是要幫助自己成為更好的防守者。

隨著現在主動式防禦知識庫的建立,MITRE正試圖打破舊的「遊戲規則」。因為,過去的資安攻防,往往是攻擊者可以選擇時間、地點與交戰方式,同時攻擊者也會在入侵時,學習摸索企業組織的防禦環境,而William Hill指出,他們現在想要做的,是挑戰控制對手並開始影響時間、地點與交戰方式,然後盡可能最大化自己的學習,並拒絕對手的學習。顯然,要在防禦範圍內進一步控制對手,主動在內部網路環境與之互動及抗衡,就是MITRE對於主動式防禦的一大重點。

剖析主動式防禦技術手法,已歸納8個戰略與36個不同技法

基本上,MITRE將主動式防禦的各種技術做了歸納,在他們提出的Shield矩陣(matrix)中,仿效了ATT&CK矩陣的設計,由戰略與技術手法構成,將主動式防禦的戰略分成8個階段,包括引導管道(Channel)、收集(Collect)、牽制(Contain)、偵測(Detect)、破壞(Disrupt)、促成(Facilitate)、合法化(Legitimize)、測試(Test)。

而在這8項戰略階段之下,列出了各階段可使用的技術手法,目前MITRE總共歸納了36種。與ATT&CK矩陣相同的是,各項技術手法也可能同時出現在不同戰略階段當中。

值得注意的是,在這36項技術手法中,我們發現有多個與欺敵誘餌有關,包括誘餌帳號、誘餌內容、誘餌帳密、誘餌多樣性、誘餌網路,以及誘餌角色、誘餌過程與誘餌系統等,不僅如此,從戰略階段的初期來看,就是要將敵人引導至特定路徑或特定方向,收集對手的工具、觀察戰術、活動與相關情報,之後再進行一連串的動作。顯然,引導與欺敵是主動式防禦的主軸之一。

同時,MITRE網路智慧戰略長Christina Fowler也提出相關說明,她指出,前五個戰略階段可以適合所有人使用,而在與對手交戰之際,如果你想讓攻擊者留在環境中,以便做到更多的觀察,獲取更多對方攻擊戰術流程(Tactics、Techniques與Procedures,TTP)的資訊,之後可能就會需要使用後面三個戰略階段。

綜合來看,這樣的主動式防禦更是要與入侵的攻擊者鬥智,當對方規避了防禦、進而滲透至內部網路環境之際,幫助企業組織可以更早發現,並在受到入侵時,因應上更具主導權。

在Shield主動式防禦矩陣中,MITRE依據ATT&CK的經驗,將主動式防禦的戰略與技術手法歸納與整理,目前包含8個戰略階段,以及36項技術手法,當中可以看出除了安全控制、隔離、監控與分析,引導與誘餌,更是這個當中的一大焦點。(資料來源:MITRE,iThome整理,2021年3月)

資料來源:https://www.ithome.com.tw/tech/143477