文章

威脅偵測與回應

在本文中，您將瞭解威脅偵測與回應，並透過網路威脅的實例，認識如何運用威脅情報來回應威脅。瞭解如何採取主動的威脅偵測方法。

什麼是威脅偵測與回應？

威脅偵測與回應(TDR , Threat Detection and Response)是一套網路安全(Cybersecurity)實務與工具，用於在網路、系統或敏感資料遭到入侵之前，辨別惡意活動並加以消除或緩解。

最有效的威脅偵測與回應，是透過技術、流程與人員的整合來執行的。

什麼是威脅偵測？

威脅可分為兩大類：已知威脅與未知威脅。威脅偵測策略必須具備以下能力，以辨識這兩種類型的攻擊。

端點威脅偵測
可識別使用者系統中的潛在惡意事件，例如桌上型電腦、物聯網 (IoT , Internet of Things) 裝置、筆記型電腦、智慧型手機、伺服器、平板電腦與工作站。
網路威脅偵測
在網路上建立正常的流量模式，並監控異常情況。
安全事件威脅偵測
彙整整個網路中的事件資料，包括驗證、網路存取與系統記錄。
滲透測試
模擬對系統的攻擊，以評估安全性並識別漏洞。

以下是三種主要的威脅偵測方法。

1. 基於行為的威脅偵測
基於行為的偵測方法可識別可能表示裝置或網路上存在活動的異常行為。透過此類威脅偵測模型，系統會建立正常行為模式的基準，例如使用者通常從哪裡登入、他們上線的時間，以及所存取的資源，並定期更新這些基準。一旦行為偏離既定模式，系統便會發出警示，提示可能存在惡意活動。

2. 基於機器學習(Machine learning-based)技術的威脅偵測
來自各種來源（例如記錄檔案、安全系統與雲端服務）的大量資料，會透過機器學習(ML , Maching Learning)模型進行處理。機器學習演算法利用統計數據與機率，來快速識別人類難以察覺的模式。透過對整個攻擊面(Attack Surface)進行分析，機器學習式的威脅偵測在識別未知威脅方面扮演關鍵角色。

3. 基於特徵的威脅偵測
基於特徵的威脅偵測方法會掃描網路流量，尋找已知威脅的指標（例如，雜湊值、檔案名稱、登錄檔機碼名稱，或檔案中出現的字串）。當偵測到符合的特徵時，系統便會產生警示。

什麼是威脅回應？

威脅偵測完成後，接下來的威脅回應步驟是為了減輕網路攻擊(Cyber Attack)與其他惡意行為的影響。有效的威脅回應仰賴事先擬定的詳細計畫，以便團隊能迅速採取行動。

威脅回應計畫應詳細列出各項角色與職責。參與威脅回應的人員稱為網路事故回應團隊 (cyber incident response team, CIRT)。CIRT 通常包括來自企業各部門的代表（例如，安全與 IT、高階主管、法務、人力資源、法規遵循、風險管理及公共關係）。

以下是有效威脅回應的六個步驟。

1. 準備階段
威脅回應的有效性取決於準備程度。這表示必須建立並定期檢視威脅回應計畫的各個面向，以確保在面對最新的威脅情勢時，能迅速依照步驟執行。此項準備工作應涵蓋策略、政策與計畫，以將干擾和損害降至最低。

2. 識別與分析
威脅偵測使用來自各種來源的資料（例如記錄檔(Log)、監控工具、錯誤訊息、入侵偵測系統與防火牆）來識別事件。威脅偵測完成後，應進行分析以瞭解其具體性質與攻擊範圍。這些資訊可確保採取最有效的回應措施。

3. 隔離處理
在偵測到威脅後，應儘快啟動隔離措施。為此，隔離可分為兩個階段：

短期—隔離措施的重點在於將受影響的系統進行隔離，以防止威脅擴散。通常會將受感染的裝置下線。

長期—隔離措施會進一步擴展，以強化防禦，保護尚未受影響的系統。有時，敏感資源會透過網路分段進行實體隔離。

4. 根除階段
在根除階段，團隊必須從受影響和未受影響的系統中搜尋並清除所有威脅痕跡。這可能涉及銷毀惡意軟體(Malware)、部署修補程式、從備份重建系統，或永久停止生產系統。

5. 恢復階段
在系統恢復生產之前，需要進行測試、監控與驗證，以確認根除措施是否有效。針對規模較大的事件，恢復階段還包括決定何時恢復營運。在某些情況下，未受影響的系統會優先恢復運作，而受感染的系統則需進行額外測試後才可重新上線。

6. 事件後檢討
一旦威脅得到處理且所有營運恢復正常，團隊將檢查在每個威脅回應階段中蒐集的證據，以瞭解事件的發生經過，以及未來如何防止類似情況再次發生。所獲得的經驗教訓會與內部團隊分享，也常會提供給第三方，以協助其他人避免遭遇相同的問題。舉報網路犯罪的資源之一是 FBI 的網路犯罪投訴中心 (IC3)，它是美國舉報網路犯罪的主要平台，負責蒐集與威脅相關的資料。

網路威脅的範例

瞭解組織面臨的網路威脅類型，對於威脅偵測與回應至關重要。常見的威脅類型包括：

進階持續性威脅 (Advanced persistent threats, APT)
分散式阻斷服務 (Distributed Denial-of-Service, DDoS) 攻擊
內部人員威脅—惡意與疏忽
惡意軟體(Malware)
網路釣魚(Phishing)
社交工程(Social Engineering)
勒索軟體(Ransomware)
供應鏈攻擊(Supply Chain Attacks)
零時差威脅(Zero-day Threats)

威脅情報的運用方式

威脅情報會經過蒐集、處理與分析，以提供有關攻擊動機、目標及行為模式的洞察。這使得安全決策能更迅速地做出，並從被動反應轉為主動防禦。威脅情資的資料範例包括：

關於如何防禦攻擊的建議
異常行為
攻擊策略、技術與程序 (TTP)
已知威脅與攻擊者
攻擊的動機
攻擊的來源
惡意軟體或攻擊者基礎設施的類型
未知威脅與攻擊者
漏洞

應對安全事件

在應對安全事件時，速度至關重要。從威脅偵測到完成隔離的時間應盡可能縮短，以降低損害。

如上所述，威脅回應計畫應成為每個組織的首要任務。無論規模大小，任何組織都有可能遭受網路攻擊(Cyber Attack)，若未能迅速且有效地處理，將面臨嚴重損害。

為確保對安全事件做出最主動的回應，應檢視並處理的問題包括：

是否已建立團隊以回應威脅偵測警報？
團隊是否清楚誰負責威脅回應計畫中的各個階段？
是否已建立溝通流程，且所有團隊成員都清楚瞭解？
所有團隊成員是否清楚瞭解升級處理的條件？
是否已部署所有必要的工具與系統，以便迅速回應威脅偵測警報？

主動威脅偵測

主動式威脅偵測仰賴充分發揮科技與人力的能力。這些工具提供自動化功能，以消除繁瑣的人工作業，並將威脅偵測提升到人力無法達成的層次。人為因素使我們能夠辨識細微差異並進行機器無法執行的判斷與決策。

可用於主動威脅偵測的重要資源包括：

人工智慧 (AI , Artificial intelligence) 與機器學習(ML , Machine Learning)技術驅動的解決方案
持續監控與分析
滲透測試
主動威脅偵測與回應計畫和團隊
威脅獵捕