隱私與風險
利用紅隊演練/攻擊演練(Red Teaming) 降低資安風險
看看紅隊演練/攻擊演練 (Red Teaming) 如何降低資料外洩成本,並且讓不斷擴大的數位受攻擊面風險降至最低。
今日企業的資安重點主要在管理數位轉型所衍生的複雜性,以及資料隱私與法規遵循的問題。隨著數位受攻擊面不斷擴大以及 遠距上班員工不斷增加,資安團隊已明顯感受到一股危機。但有一點卻經常被人忽略,那就是駭客的技術日益精進,而且經常能搶占先機。
何謂紅隊演練/攻擊演練?
所謂「紅隊演練/攻擊演練」(Red Teaming) 就是找一組人扮演駭客,模擬駭客對企業發動網路攻擊,製造一種相當於遭遇駭客攻擊的情境來考驗企業的防禦,並且累積第一線事件回應的經驗。
像這樣經過詳細策劃、由專家執行、並且在嚴密監控下模擬真實情境的攻擊演練,是為了找出企業的網路資安弱點。事實證明,經由這類演練所獲得的情報,對於改善企業的資安防禦非常有價值,而且能提高真實駭客突破企業防線並造成破壞的困難度。不僅如此,IBM 的 2022 年資料外洩成本報告也指出,攻擊演練平均可降低 204, 375 美元的整體成本。
紅隊演練/攻擊演練的幾個階段
攻擊演練首先要從蒐集威脅情報著手,包括找出對企業最珍貴的資產,根據 MITRE 的定義,就是「對企業達成使命最關鍵的數位資產」。此外,還要找出企業環境內可能遭攻擊的點,以及駭客攻擊時的行動、目標與範圍。所以,事前的規劃對於攻擊演練的成敗至關重要。
我們借用歐洲 TIBER 框架當中最相關的部分,列出了攻擊演練的三個階段:
- 事前準備
此階段要擬定演練的目標與條件,幫攻擊團隊 (Red Team) 建立一些攻擊情境。此外,還要制定並簽訂法律框架,詳細說明戰鬥守則:什麼可以做、什麼不能做。 - 攻擊演練 (執行測試)
在這階段,攻擊團隊要執行前一階段定義的各種攻擊情境。此階段的目標是取得企業機密而不被發現。此外,這階段還可能額外發掘一些企業的資安漏洞。 - 事後檢討
攻擊結束之後,攻擊團隊要說明他們採用的手法,並提出一些可協助企業改善資安的建議,這通常是透過會議來檢視各種結果,並討論發現到的一些狀況。
資安情勢報告
製作資安情勢報告是攻擊演練不可或缺的一環,從這份報告就能看出為何威脅情報對攻擊演練至關重要。
由於每家企業都有自己獨特的關鍵業務,而且專注的市場不同,業務目標也不同,最重要的是,企業會吸引的犯罪集團也各不相同。因此,如果只是採用一般制式的攻擊演練將無法獲得成效。
資安情勢報告應包含幾個章節,包括:業務概況、數位足跡、威脅情報、威脅模型,以及攻擊的手法、技巧與程序 (TTP)。企業必須綜合這些資訊來建立攻擊演練情境。
業務概況
此步驟要找出企業的關鍵業務,分析業務的流程和系統。例如,金融機構的關鍵業務大致包括:交易處理、客戶資料及電子商務。透過這樣的分析就能找出對企業最關鍵的數位資產。
數位足跡
根據我們在事件回應方面的經驗:暴露在外的服務以及 網路釣魚是駭客入侵的主要途徑。這正是為何了解企業的數位足跡,是資安情勢報告很重要的一環。在這階段,企業很可能會找到一些早就被人遺忘、但卻暴露在外,而且很可能遭到攻擊的服務。
威脅情報
企業可透過一些知識和過去的威脅研究來找出自己可能面臨的資安威脅。
威脅模型
根據威脅情報,企業可找出最常見、也最可能攻擊企業的駭客集團有哪些。這些集團可根據其動機、技術能力、意圖等等來加以評分。
手法、技巧與程序 (TTP)
根據前面的數位足跡、威脅情報以及威脅模型資訊,就能找出一些可用來攻擊企業的手法、技巧與程序。例如,金融機構遭到 Lazarus 駭客集團攻擊的風險很高,因為就金融業而言,Lazarus 擁有相當高的技術能力、攻擊意圖與動機。因此,模擬 Lazurus 攻擊的演練情境就很有意義。
「事前準備」階段可讓攻擊團隊了解演練的目標,有利於「攻擊演練」與「事後檢討」階段的執行,同時也讓企業更容易了解、評估及防範其環境的資安風險。
下一步
找出受攻擊面,只是您邁向資安韌性的第一步。然而,零散不連貫的單一面向產品,會讓企業的資安可視性不足,容易形成資安死角。要打破這些障礙,並讓攻擊演練發揮效益,請考慮採用一套具備廣泛第三方整合能力的全方位網路資安平台 。
藉由全方位的可視性,網路資安平台能發掘不斷擴大的受攻擊面,讓資安團隊掌握漏洞並安排漏洞的修補次序,同時還能偵測及快速回應威脅,在適當時機套用適當防護來降低風險。請挑選一家擁有無可匹敵的全球威脅情報團隊在背後提供威脅情報與漏洞分析資訊的廠商,確保資安團隊能隨時因應威脅情勢的演變。
如需有關全方位網路資安平台和資安風險管理的更多資訊,請參閱以下文章: