面對不可預測威脅的防禦思維

Bob Hung

Trend Micro

TW/HK GM

#CLOUDSEC

8/14/2015 2Confidential | Copyright 2015 Trend Micro Inc.

台灣的目標式攻擊嚴重嗎?

www.cloudsec.com/tw | #CLOUDSEC

• 從2013年至2015年七月共計進行376次事件處理專案。

• 共計調查了1,997 台受害主機，包含1,216 台伺服器, 781 使

用者電腦。

3

Taiwan Cyber Threat Landscape

www.cloudsec.com/tw | #CLOUDSEC

43

250

376

0

50

100

150

200

250

300

350

400

~2013 2013~2014 half 2014 half ~2015 half

www.cloudsec.com/tw | #CLOUDSEC

• Top 3 資安事件的產業為政府，高科技，及金融

4

Taiwan Cyber Threat Landscape

中小企業

6%化工業

1% 服務業

1%

金融業

12%

政府機關構及所屬

事業

47%

高科技製造業

19%

教育產業

1%

通訊業

1%

媒體業

2%資訊業

3%

遊戲業

1%

運輸業

5%

醫療業

1%

www.cloudsec.com/tw | #CLOUDSEC

• 平均攻擊潛伏時間 (由攻擊被發現時間到可追溯的最早駭

客足跡發生點)為559天，某些極端案例潛伏時間甚至超過

2000天

5

Taiwan Cyber Threat Landscape

791 762 761 651

458 405 372 340

105 58

1446

24862312

1224

761

476

762

372

2284

386

58

1579

0

500

1000

1500

2000

2500

3000

平均入侵時間 最大入侵時間

www.cloudsec.com/tw | #CLOUDSEC

• 持續而迅速的事件應變處理及改善措施可有效的降低威脅

潛伏期

6

Taiwan Cyber Threat Landscape

917

497

187

0

200

400

600

800

1000

1st IR 2nd IR 3rd IR

Company I

2284

25534 59 14 2

0

500

1000

1500

2000

2500

1st IR 2nd IR 3rd IR 4th IR 5th IR 6th IR

Company A

www.cloudsec.com/tw | #CLOUDSEC

• 79%的攻擊被發現時已進入大量內網擴散階段

7

Taiwan Cyber Threat Landscape

79%

3%

18%

內網擴散 控制 攻擊

www.cloudsec.com/tw | #CLOUDSEC

• 威脅被發現時的攻擊階段並無明顯的產業區別

8

Taiwan Cyber Threat Landscape

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

控制階段 內網擴散階段 攻擊階段

www.cloudsec.com/tw | #CLOUDSEC

• 僅五成被駭電腦被發現遭植入後門程式

–傳統黑名單比對方式明顯不足

9

Taiwan Cyber Threat Landscape

30%

15%

55%

駭客工具程式 合法程式 後門程式

攻擊目的的多樣化

•政府• 情資竊取 (國家級組織型駭客)

•大型企業• 情資竊取(國家級組織型駭客)

• 商業機密竊取(商業間諜)• 公司重要智財(IP)如source code, 設計圖等

• 客戶資料(黑色產業鏈駭客)

• 數位簽章(所有駭客)

•中小企業• 變臉詐騙

8/14/2015 10Confidential | Copyright 2015 Trend Micro Inc.

如何面對不可預期的威脅?

• 預防重於治療?

• 災難永遠發生在不可預期處

• 以實體世界災難為例:• 安全觀念的建立

• 落實的安全檢查

• 即時的監測與通報機制

• 事件發生後的緊急應變流程

• 確實的事件原因調查與分析

• 重新檢討上述流程的缺失

• 改善現有流程或建立新流程

8/14/2015 11Confidential | Copyright 2015 Trend Micro Inc.

別讓資安事件成為貴單位的”八仙塵爆”

面對網路威脅原則相同

Gartner 對APT威脅提出同樣的觀點

8/14/2015 12Confidential | Copyright 2015 Trend Micro Inc.

威脅防禦的各個元素

8/14/2015 13Confidential | Copyright 2015 Trend Micro Inc.

資安教育 偵測

機制

事件應變

資安監控

事件調查

資安健檢

建立與落實

技術與管理上的困難處

改善措施

回到防禦循環

8/14/2015 14Confidential | Copyright 2015 Trend Micro Inc.

It’s pain point to most of clients

APT 防禦的現況與挑戰

8/14/2015 15Confidential | Copyright 2015 Trend Micro Inc.

Network Sensor

Victim computer

定位出的受害電腦是否準確? 會不會有誤判或遺漏?

此駭客入侵事件僅止於此嗎?有其他受害者嗎?影響範圍有多大?

如何處理此受害電腦?有什麼資料被竊?駭客是如何入侵此電腦的?

APT 防禦的現況與挑戰(Cont)

16

定位出的受害電腦是否準確? 會不會有誤判或遺漏?

單一sensor/rule的資訊不足以佐證確切的駭客行為(駭客慣用正常行為入侵)。

此駭客入侵事件僅止於此嗎?有其他受害者嗎?影響範圍有多大?

缺乏足夠的駭客行為情資，無法進行跨產品資安事件紀錄之關聯性分析。

如何處理此受害電腦?有什麼資料被竊?駭客是如何入侵此電腦的?

缺乏電腦詳細記錄檔及歷史資料，無法追蹤受害當時的駭客行為及軌跡。

Questions Problems

即便收集各式資料，要如何儲存、處理、並有效快速的關聯分析?

Big Data 3V

8/14/2015 17Confidential | Copyright 2015 Trend Micro Inc.

威脅感知偵測器 A 威脅感知偵測器 B 威脅感知偵測器 C

趨勢雲端大數據智能分析

辨識傳統威脅攻擊

挖掘真實的目標式攻擊事件

在地化威脅情資的智能掃描

雲端大數據關聯分析

在地化威脅情資的智能掃描

過濾雜訊，呈現攻擊範圍與彼此關係

8/14/2015 22Confidential | Copyright 2015Trend Micro Inc.

利用監看歷史紀錄資料，回溯駭客足跡

RESULT

23www.cloudsec.com/tw | #CLOUDSEC

Network Infection Map

8/14/2015 24Confidential | Copyright 2015Trend Micro Inc.

Account Infection Map

8/14/2015 25Confidential | Copyright 2015Trend Micro Inc.

Device Infection Retrospection

8/14/2015 26Confidential | Copyright 2014 Trend Micro Inc.

(Example) 完整回溯Flash 0 day APT社交工程電子郵件攻擊行為軌跡

Sensor detected a C&C connection

Trigger point

Device Infection Retrospection

8/14/2015 27Confidential | Copyright 2014 Trend Micro Inc.

•面對新型態威脅，預防已屬不可能，應以如何強化資安體質，提高被攻擊門檻來思考防禦策略

•因應新型態威脅，需結合策略、政策、流程與技術，方能有效因應

•事件應變處理(Incident Response)的組織與流程之建立是當務之急

•有效應用巨量資料分析技術協助事件之調查與處理可大幅減少資安事件的反應時間，並有效降低組織的損害及復原成本

8/14/2015 28Confidential | Copyright 2015Trend Micro Inc.

Summary

#CLOUDSEC

Thank You