Post on 20-May-2020
www.cloudsec.com/tw | #CLOUDSEC
• 從2013年至2015年七月共計進行376次事件處理專案。
• 共計調查了1,997 台受害主機,包含1,216 台伺服器, 781 使
用者電腦。
3
Taiwan Cyber Threat Landscape
www.cloudsec.com/tw | #CLOUDSEC
43
250
376
0
50
100
150
200
250
300
350
400
~2013 2013~2014 half 2014 half ~2015 half
www.cloudsec.com/tw | #CLOUDSEC
• Top 3 資安事件的產業為政府,高科技,及金融
4
Taiwan Cyber Threat Landscape
中小企業
6%化工業
1% 服務業
1%
金融業
12%
政府機關構及所屬
事業
47%
高科技製造業
19%
教育產業
1%
通訊業
1%
媒體業
2%資訊業
3%
遊戲業
1%
運輸業
5%
醫療業
1%
www.cloudsec.com/tw | #CLOUDSEC
• 平均攻擊潛伏時間 (由攻擊被發現時間到可追溯的最早駭
客足跡發生點)為559天,某些極端案例潛伏時間甚至超過
2000天
5
Taiwan Cyber Threat Landscape
791 762 761 651
458 405 372 340
105 58
1446
24862312
1224
761
476
762
372
2284
386
58
1579
0
500
1000
1500
2000
2500
3000
平均入侵時間 最大入侵時間
www.cloudsec.com/tw | #CLOUDSEC
• 持續而迅速的事件應變處理及改善措施可有效的降低威脅
潛伏期
6
Taiwan Cyber Threat Landscape
917
497
187
0
200
400
600
800
1000
1st IR 2nd IR 3rd IR
Company I
2284
25534 59 14 2
0
500
1000
1500
2000
2500
1st IR 2nd IR 3rd IR 4th IR 5th IR 6th IR
Company A
www.cloudsec.com/tw | #CLOUDSEC
• 79%的攻擊被發現時已進入大量內網擴散階段
7
Taiwan Cyber Threat Landscape
79%
3%
18%
內網擴散 控制 攻擊
www.cloudsec.com/tw | #CLOUDSEC
• 威脅被發現時的攻擊階段並無明顯的產業區別
8
Taiwan Cyber Threat Landscape
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
控制階段 內網擴散階段 攻擊階段
www.cloudsec.com/tw | #CLOUDSEC
• 僅五成被駭電腦被發現遭植入後門程式
–傳統黑名單比對方式明顯不足
9
Taiwan Cyber Threat Landscape
30%
15%
55%
駭客工具程式 合法程式 後門程式
攻擊目的的多樣化
•政府• 情資竊取 (國家級組織型駭客)
•大型企業• 情資竊取(國家級組織型駭客)
• 商業機密竊取(商業間諜)• 公司重要智財(IP)如source code, 設計圖等
• 客戶資料(黑色產業鏈駭客)
• 數位簽章(所有駭客)
•中小企業• 變臉詐騙
8/14/2015 10Confidential | Copyright 2015 Trend Micro Inc.
如何面對不可預期的威脅?
• 預防重於治療?
• 災難永遠發生在不可預期處
• 以實體世界災難為例:• 安全觀念的建立
• 落實的安全檢查
• 即時的監測與通報機制
• 事件發生後的緊急應變流程
• 確實的事件原因調查與分析
• 重新檢討上述流程的缺失
• 改善現有流程或建立新流程
8/14/2015 11Confidential | Copyright 2015 Trend Micro Inc.
別讓資安事件成為貴單位的”八仙塵爆”
威脅防禦的各個元素
8/14/2015 13Confidential | Copyright 2015 Trend Micro Inc.
資安教育 偵測
機制
事件應變
資安監控
事件調查
資安健檢
建立與落實
技術與管理上的困難處
改善措施
回到防禦循環
8/14/2015 14Confidential | Copyright 2015 Trend Micro Inc.
It’s pain point to most of clients
APT 防禦的現況與挑戰
8/14/2015 15Confidential | Copyright 2015 Trend Micro Inc.
Network Sensor
Victim computer
定位出的受害電腦是否準確? 會不會有誤判或遺漏?
此駭客入侵事件僅止於此嗎?有其他受害者嗎?影響範圍有多大?
如何處理此受害電腦?有什麼資料被竊?駭客是如何入侵此電腦的?
APT 防禦的現況與挑戰(Cont)
16
定位出的受害電腦是否準確? 會不會有誤判或遺漏?
單一sensor/rule的資訊不足以佐證確切的駭客行為(駭客慣用正常行為入侵)。
此駭客入侵事件僅止於此嗎?有其他受害者嗎?影響範圍有多大?
缺乏足夠的駭客行為情資,無法進行跨產品資安事件紀錄之關聯性分析。
如何處理此受害電腦?有什麼資料被竊?駭客是如何入侵此電腦的?
缺乏電腦詳細記錄檔及歷史資料,無法追蹤受害當時的駭客行為及軌跡。
Questions Problems
即便收集各式資料,要如何儲存、處理、並有效快速的關聯分析?
Device Infection Retrospection
8/14/2015 26Confidential | Copyright 2014 Trend Micro Inc.
(Example) 完整回溯Flash 0 day APT社交工程電子郵件攻擊行為軌跡
Sensor detected a C&C connection
Trigger point
•面對新型態威脅,預防已屬不可能,應以如何強化資安體質,提高被攻擊門檻來思考防禦策略
•因應新型態威脅,需結合策略、政策、流程與技術,方能有效因應
•事件應變處理(Incident Response)的組織與流程之建立是當務之急
•有效應用巨量資料分析技術協助事件之調查與處理可大幅減少資安事件的反應時間,並有效降低組織的損害及復原成本
8/14/2015 28Confidential | Copyright 2015Trend Micro Inc.
Summary