[新聞] 從「PTT護國神文」學防駭要能及早掌情資

作者: nk11208z (小魯)   2020-07-21 11:55:24
ithome
【從「PTT護國神文」學防駭】要能及早掌握情資,才有機會超前部署與即時應變
文/羅正漢 | 2020-07-21發表
武漢肺炎全球大流行,臺灣能在世界各國對疫情都還沒反應過來時,先行提高警覺,關鍵
就是情資的掌握與判讀,而獲得全臺民眾關注的,自然就是被譽為PTT護國神文的一篇文
章。
在2019年12月31日凌晨兩點多,一篇八卦版的文章吸引不少人注意,這是PTT鄉民「
nomorepipe」發布,標題為:「〔問卦〕武漢疑爆發非典型肺炎冠狀病毒群聚感染?」
引發熱烈討論的原因,當中提及出現類SARS個案,發文者不僅找出中國官方的公告,透露
有不明原因肺炎群聚感染,並附上李文亮醫師在即時通訊對話的截圖,以及檢驗報告等內
容。有網友就在半夜留言表示,「想到和平醫院」,甚至有網友預告「照理中共會封鎖消
息,然後病情失控傳到國外」。
當然,更關鍵的是,這樣的資訊被臺灣的防疫專業人員注意到,並且研判相當重要。包括
疾管署的防疫醫師,以及時任疾病管制署副署長羅一鈞,剛好在凌晨瀏覽這樣的資訊,他
並在完成初步查證後轉發到署內群組,這才有了後續持續關注與啟動緊急應變。
例如,疾病管制署在去年12月31日,曾寄信通知世界衛生組織WHO;在今年1月7日,將武
漢市國際旅遊疫情建議等級列為第一級;後續又因泰國、日本、韓國等鄰近國家接連出現
自武漢移入的確診個案,研判中國大陸疫情已有明顯社區傳播及疫情擴大情形。於是,疾
病管制署在1月20宣布,成立「嚴重特殊傳染性肺炎中央流行疫情指揮中心」,以及推出
各式防疫應變計畫。
防疫情資就是及早應變重要關鍵,企業同樣不可等閒視之
在這次臺灣的防疫經驗中,情資重不重要?答案很肯定,否則我們的防疫工作可能就無法
如此順利,反觀其他國家,等到他們出現大量本土感染案例,才開始因應,結果就是,他
們必須付出更大的代價。
情資的重要性,體現於很多領域,如同電腦遊戲上的LOL插眼(英雄聯盟一種拓展視野的
技巧),在資安領域也是如此。這次我們詢問不少資安專家,他們也提出觀察與意見,希
望讓企業能夠更重視情資的重要性。
例如,TeamT5杜浦數位安全執行長蔡松廷舉出一例,那就是2017年5月爆發的勒索蠕蟲
WannaCry事件,這個勒索病毒在短短一個週末的時間,就讓全球數十萬臺電腦被攻擊,而
它的主要的入侵方式,是透過SMB 1.0(SMBv1)的漏洞主動擴散。
不過,WannaCry所利用的漏洞,其實微軟在兩個月前,也就在3月14日就已發布資訊安全
公告MS17-010,當中提及相關的漏洞,並且同步發布了修補程式。
同樣的道理,對於能夠及早修補的企業與用戶來說,能夠掌握這類關於漏洞的資安訊息情
資,就能夠先做出因應。
雖然,從現實面來看,企業總是後知後覺的狀況居多,不過,早一步得知剛發生的攻擊活
動的情資,瞭解惡意程式攻擊途徑與管道,因此,在受到攻擊之前,其實還是有很多機會
,我們可以超前部署、盡早因應與加快應對。最害怕的是,企業一直都不知不覺。
但這也不由得讓我們反思,以IT領域而言,對於這類漏洞資訊的基本資安情資,雖然有些
企業都會重視,但還是有不少情況,例如,明明是高風險或嚴重等級的漏洞,系統設備業
者已經發布修補更新,發現漏洞的資安研究人員在此後也對外揭露,卻有部分企業仍然不
知道要修補,而且這是上市大企業都存在的狀況。
顯然,部分企業對於這些資訊的掌握,並不到位,使得後續又有資安業者或是CERT組織發
出警示,指出已偵測到攻擊活動,或是傳出Exploit(攻擊程式)已經出現;又或是有通
報者在漏洞通報平臺,通報企業存在設備漏洞未修補的狀況。
PTT護國神文的出現,引起政府的關切,之後也啟動一連串確認及應變措施,這當中,更
重要的一個關鍵,大家可能容易忽略的是,那就是對於情資判讀的重要性。
及早拿到情資之餘,要能正確判讀更重要
根據羅一鈞在4月16日每日記者會上的說明,當時他看到這篇後來被稱為PTT護國神文的內
容,注意到一般爆料不同的狀況,包括提到華南海鮮市場有確診7例SARS,引發關注,而
他也追查截圖中的原始檢驗報告,瞭解可能是致病性高的病原體,並從照片概況研判是當
地醫療人員內部討論群組流出,具有某種可信度,加上追查外流訊息時,發現有醫護互相
提醒的狀況,擔心院內醫護人員相互感染,因此,他趕緊將這樣的訊息提供到衛生署內的
Line群組,才有後續的防疫動作。當然,也是因為有過SARS的經歷,才更能夠將這些情資
串在一起。
這樣的過程看似簡單,但戴夫寇爾執行長兼共同創辦人翁浩正提醒的是,在資安領域,情
資的複雜性更高。例如,對於高傳染性生物,我們通常要知道的是什麼病毒、細菌,以及
傳染方式與症狀,但在資安上,除了掌握惡意程式、勒索病毒,要能知道它的攻擊行為與
途徑,但也有更複雜的,像是針對駭客組織的情資又不同,需要掌握攻擊者是誰,採取的
攻擊戰術流程(Tactics、Techniques與Procedures,TTP),而這類情資的價值也比較高

這主要也是跟威脅的屬性差異有關。同是看不見的病毒,但防疫面對的病毒、細菌多半是
自然演變而來,資安防駭面對的威脅則都是人為製造,因此很難用一成不變的方式去防禦
。而一般資安圈所談的威脅情資,大多也都更聚焦在APT防護。
對於已經重視情資的企業或組織而言,下一步該注意的挑戰又是甚麼?
要像這次防疫經驗,能夠如此快速判讀威脅態勢,資安情資管理就是不可或缺的一環。要
知道的是,關於前述的漏洞資訊,只能算是一種基本的資安資訊,還有像是網頁攻擊情資
、入侵攻擊情資(垃圾郵件、中繼站、殭屍電腦、C&C等),還有更高層面的威脅情資,
將會涵蓋到攻擊者身分,採取的攻擊戰術流程(TTP),以及相關攻擊事件,不同產業屬
性等。
這次我們訪問的不少資安專家,其實都提到了情資判讀與分析的重要姓。對此,勤業眾信
風險諮詢服務執行副總經理林彥良表示,企業必須重視威脅情資的管理,像是PTT八卦版
上的雜訊很多,當防疫人員看到時,也要有夠多資訊能夠關連、串在一起。
其實,大家多半都能瞭解情資的重要性,但有些情資,是會引發注意但無法做出關連,又
或者是,能注意、關連,卻不一定知道該如何處理,這是企業在關注情資時,也要能注意
的面向。
不僅是資安情資,對於資安新聞與事件也是如此,不論當事人或旁觀者,有些人看到這些
資訊會有感覺,但有人看到同樣的資訊卻沒感覺,這就會影響後續使否採取行動的速度。
像是有國際駭客鎖定全球金融業,瞄準國際匯款系統SWIFT,當其他國家銀行遇害,臺灣
金融業是否能夠及早吸取相關情資與經驗。
由於威脅情資面向涵蓋非常廣,對此,勤業眾信風險資訊服務協理陳威棋指出,這是管理
的議題,因為情資也有分等級,還要能識別情資的重要性,一開始就要知道企業有哪些風
險,才能進一步知道要蒐集那些威脅情資。對此,林彥良也用NIST CSF網路安全框架來說
明,他說,一開始就提到要建立企業本身的輪廓(Profiles),才能知道自己面臨的風險

舉例來說,我們會盤點公司使用的資訊設備,甚至系統元件,如此一來,才能知道那些漏
洞資訊自己需要注意,或是瞭解公司旗下有哪些產業,才能知道應關注那些領域的資安情
資。
無論如何,企業在做資安工作時,除了基本的資安防護,情資也是一大關心重點。但其實
,威脅情資在資安領域也是很大的一個議題,而建立威脅情報平臺(Threat
Intelligence Platform,TIP)的概念,也早已成形。不過,從防疫經驗來看,我們至少
要知道的是,及早掌握資訊的重要性,即便後知後覺也比不知不覺要好,而情資的判讀也
很重要。
對於普遍企業而言,掌握一般資安情資資訊是基本,還沒做到的企業將需要檢討,而就中
大型企業及關鍵基礎建設而言,重視的威脅情資範圍將會更廣,特別是在APT攻擊方面。
https://www.ithome.com.tw/news/138879

Links booklink

Contact Us: admin [ a t ] ucptt.com