提前掌握網路威脅情資 有效提高資訊安全治理

資誠聯合會計師事務所與台灣玉山科技協會於2018年10月31日共同舉辦「新世代企業威脅管理與防範」論壇，探討企業在資源有限但是四面楚歌的資訊安全戰場，如何透過提前掌握可能的威脅情資，進一步提高對潛在攻擊行為的掌握及因應，協助企業有效提高資訊安全治理。

資誠聯合會計師事務所所長暨聯盟事業執行長周建宏致詞時表示，新科技日新月異，傳統資安概念與硬體設備早就不足以應付現代網路攻擊，遭遇網路安全犯罪往往將造成企業額外損失，影響企業營運。為協助企業抵禦網路安全犯罪，日前也特別成立資誠智能風險管理諮詢公司，透過與時俱進的風險管理策略，幫助企業制敵機先並有效管理資訊安全。

網路威脅情資  企業防駭新利器

資誠智能風險管理諮詢公司執行董事張晉瑞指出，近期國內外資安事件頻傳，許多企業僅僅被動防禦，卻對敵人一無所悉。孫子兵法說「知己知彼，百戰不殆」，企業必須主動瞭解攻擊者的下一步，才能做到最好的防護，而網路威脅情資(Cyber Threat Intelligence, CTI)就是一個洞悉對手狀態的利器，經過收集、分析來自本地和全球的威脅資料，並進一步定義、警示和通報企業組織相關的威脅情況，讓企業得以在資安事件發生前，將合適的防禦資源迅速果斷地就定位。

張晉瑞表示，網路威脅情資CTI對企業的貢獻可分為三大應用面：

1. 實務營運面(Operational level)
   CTI提供可立即使用之情資，例出提供資設安設備惡意中斷站(C&C IP/Domain Name)黑名單、釣魚郵件特徵、惡意程式雜湊值 (Hash) 及威脅指標 (IOC)等。
2. 戰術應用面(Tactical level)
   提供駭客最新攻擊目標、所使用的系統弱點、攻擊手法等，並蒐集各種個資外洩事件、網頁攻擊及入侵事件，使企業得以提高警覺。
3. 戰略決策面 (Strategic level)
   透過長期研究駭客組織及駭客行動，透過其戰術、技術和流程 (TTP)、發動攻擊者 (Actor) 及任務 (Campaign)，推估下一波可能的攻擊趨勢。
    

從被動防禦到主動防禦

張晉瑞表示，企業如果固守被動防禦模式，可能發生出現機敏資料外洩而不自知，使得一路走來費心佈建的資安防護資源，始終無法達到最佳投資效益。而駭客攻擊事件層出不窮，這些威脅極具針對性、長期潛伏且手法刁鑽，是十分棘手的資安困境，傳統被動防禦無法應付。企業應主動積極分析、監控、回應、學習並應用相關知識對抗駭客，收集數據、挖掘訊息、利用情報等工作，在合法框架下對駭客進行防衛甚至反制。

他強調，對於安全運營團隊來說，可運用CTI平台的專業分析手法，持續蒐集與比對全球新興威脅情資，據此挖掘內部是否存在異常行為，建立早期預警機制，降低零時差攻擊帶來的威脅，以發揮防微杜漸功效。對於管理決策者來說，透過成功減少針對性攻擊次數及減少攻擊被發現與根除時間，來衝量CTI使用的效果。

傳統資安營運中心  無法及時察覺駭客入侵

羅兵咸永道會計師事務所(PwC Hong Kong) 合夥人顏國定以某資安事件為例，駭客使用遠端桌面服務作為入侵點，破壞關聯式資料庫服務並竊取系統憑證，導致35台PC/伺服器受到感染，獲取Linux伺服器密碼後，透過網路伺服器竊取資料，而企業要到駭客入侵第12天，再次出現硬碟剩餘空間過低的警告後，才能確認資安事件的發生，但為時已晚，駭客已成功竊取資料。

顏國定表示，企業的傳統資安營運中心(SOC)無法檢測到上述駭客攻擊，主要是因為無法偵測到這些無特徵、客製化的惡意軟體，且可以融入Windows操作系統，即使是IT專員也無法輕易發現，再加上此惡意軟體使用雲端服務(如dropbox)來傳輸，導致企業無法及時察覺駭客入侵。

張晉瑞建議，企業應思考導入威脅情資的應用，以主動察覺駭客並及早反制，這是一項長遠的投資，應與企業長期的治理願景結合，才能降低資安風險及營運風險，且應使用到企業各層面，並且所提出的建議要能落地執行，而客製化的威脅情資，將可大幅減少情資雜訊，降低與企業系統整合的困難，讓企業第一次有機會能領先眾多攻擊者。