Navigator.Efficiency.Intelligent.Technology.Hope
Navigator
Efficiency
Intelligent
Technology
Hope
NEITHNET is composed of a group of experts passionate in information security who specialize in advanced insights into hidden cyber threats and are highly familiar with the offensive and defensive language of the future world. On a daily basis, our world-class information security laboratory (NEITHCyber Security Lab) processes huge amounts of information from all sources; just when you feel like you’re searching for clues like a needle in a haystack, we ‘ve already discovered the threat way ahead of time. NEITHNET's service scope is centered on cyber threat intelligence and extends to MDR real-time monitoring, network traffic analysis , dns security, information security diagnostics, and various information security incident processing and forensic services, etc., helping customers guard against ubiquitous cyber threats.
Careers

News
搶先偵獵破駭客攻勢 主動出擊才是防禦王道
2022/11/07
當全球產業渴望借助物聯網(IoT)、人工智慧(AI)等科技建構新世代的數位營運模式之際,惡意駭客也可能悄無聲息地潛伏進入應用場域,伺機橫向移動擴大感染範圍,進而控制關鍵應用系統,抑或是盜取機敏資產,再觸發加密勒索軟體執行,逼迫企業不堪營運遭到中斷而願意支付贖金,讓整起攻擊活動獲得最大化非法利益。
實際上,企業或組織防禦機制只要擁有可辨識最新威脅的能力,或是在釀成重大事故前先行發現攻擊活動,即可大幅降低損害。面對現代化攻擊手法變換多端,愈早掌握即時威脅情資,將有助於在最短時間內偵測發現攻擊活動並先一步阻斷,以免資安事件擴大到難以收拾。
自選適用性情資 提高整體成本效益
所謂的威脅情資,NEITHNET騰曜網路科技總經理林岳鋒說明,不外乎蒐集駭客攻擊活動使用的戰術、技術與程序(TTP)軌跡,把艱澀難懂的訊號,轉換成應用系統可理解的入侵指標(IOC),餵入演算模型分析判讀使用者行為風險數據,設計以圖形化介面呈現,讓IT或資安長可一目了然。
NEITHNET的情資來源,包含自有建置的蜜罐誘捕系統(HoneyPot)、資安事件回應(Incident Response,IR)服務、NEITHCyber實驗室,以及第三方交換取得。林岳鋒說明,透過HoneyPot被動式擷取來自網際網路的攻擊,例如惡意IP等指標,掌握駭客初步試探性攻擊訊號,可定位為前哨站。其次是NEITHNET資安事件回應團隊,協助客戶處理已爆發的資安事件取得惡意樣本,讓每日專注於獵捕(Threat Hunting)最新攻擊的NEITHCyber實驗室研究員進行拆解,獲取中繼站等更多細節資訊用以豐富自家情資。
「不論是自建蒐集或交換取得的情資,種類勢必相當多元,建議企業以適用性挑選,避免受到非必要的資訊所干擾。」林岳鋒強調。過去部署觀念是情資總數愈多,愈可降低偵測攔阻遺漏的機率。運行後卻發現,隨著情資數量倍數增長,反而增添防禦機制運算效能負擔,使得有限的資源耗費在處理非必要資料。
企業挑選情資的方向,可基於攻擊手法、危害程度、特定產業或政府機關等選項進行篩選,以確保掌握關鍵情資。例如NEITHNET依駭客入侵手法,將情資分為Attack IP、Botnet、Malicious、Ransomware、Phishing等十大類,並持續增加類別中。其次是以時效性評估,近年來攻擊活動採用的惡意程式,通常會大量密集地活動,企業防禦機制得有能力辨識並即時阻擋。針對無法辨識的異常程式,則須持續地追蹤活動行為才可判定。
林岳鋒舉例,防火牆部署於第一線執行阻擋,得持續不斷增進辨識攻擊手法的能力,但有限的設備資源終究無法餵入無限的情資,勢必得按照危險程度選用。NEITHNET情資萃取系統含括從深層網域的真實流量中擷取攻擊資料,並且持續地研判惡意指標的可靠度與活躍度,以提高精準度,讓企業挑選最適合的情資,避免非必要資料佔用有限資源,發揮整體成本效益。
多來源掌握新手法 跟進演進提高辨識度
NEITHNET運用蒐集器、爬蟲、蜜罐,蒐集網際網路環境中活躍的惡意活動相關資料,由NEITHCyber實驗室的研究人員運用沙箱(Sandbox)、反組譯等技術,搭配授權取得的第三方情資,以及IR團隊協助客戶處理資安事故過程中解析樣本累積的威脅指標,不斷地訓練機器學習演算模型,輔助研究人員判讀資訊。
遠端網路攻擊型態,不外乎透過掃描應用程式、作業系統、網路設備弱點,或是暴力破解遠端桌面(RDP)、VPN、VNC工具等方式竊取連線帳密,可說是相當成熟的手法,IR團隊在協助客戶處理資安事件發現,這些駭客慣用的手法至今仍是攻擊得逞的首要路徑。林岳鋒觀察,實際上並非維運人員不懂得攻擊威脅的危險性,通常是誤以為防護機制已設定完善,殊不知完整度有所欠缺,也未建置監控日誌系統,讓攻擊者憑證填充(CredentialStuffing)攻擊得以成功。
從近來全球媒體揭露的資安報導可發現,攻擊手法不斷地精進,甚至已發展出利用正常的HTML5和JavaScript功能,發動HTML走私攻擊(HTML Smuggling),以規避資安機制偵測,成功地散佈惡意軟體。林岳鋒進一步指出,日前行政院資安處公布政府單位每日遭受駭客攻擊、掃描次數高達500萬次,實際上,這已可說是現代網路攻擊活動的常態,欲防範於未然,勢必得持續跟進攻擊手法演進的腳步,才有能力即時發現與攔阻。
▲ NEITHInsight情資運作方式(一):防火牆/UTM透過定期線上更新情資,搭配URL Filter、IP/DNS Black List與Hash檔案檢測,直接阻絕惡意行為,即早發現潛藏危機。
▲ NEITHInsight情資運作方式(二):提供SOC/SIEM透過API的方式,搭配豐富且精準的在地化情資內容,進行即時情資比對資訊,完整防護所有資安威脅。
NEITHCyber實驗室追蹤 提升在地情資準確度
有能力迴避資安偵測可說是現代化攻擊活動重要特徵,NEITHNET為了強化網路環境能見度,透過NEITHViewer以非入侵方式蒐集傳輸流量,運用深度封包解析擷取內容,進而基於NEITHInsight精準的情資運行分析判讀,最終結果回饋到資安設備或SIEM平台,讓惡意行為得以即時被發現,藉此幫助企業增添主動式防禦。
攻擊者之所以鎖定特定企業或組織發動APT活動,通常是事前經過大規模掃描弱點時發現有機可趁的應用系統、設備等,而企業建立主動防禦的首要任務即是避免成為被鎖定的標的。其次是萬一攻擊者利用釣魚郵件直接滲透員工電腦,NEITHInsight情資輔助亦可偵測發現惡意程式回呼(Callback)連線到中繼站的行為,觸發資安政策逕行阻斷,讓攻擊者無法遠端派送指令進行橫向擴散。
林岳鋒指出,NEITHCyber實驗室近期統計台灣網路攻擊活動狀態,發現10001、445連接埠遭受掃描頻率最高,其次是6379、2376,追蹤發現6379為REDIS伺服器預設連接埠,2376與2375則為Docker系統。他提醒,掃描頻率增加,意味著攻擊者可能準備發動零時差攻擊,正在趁全新漏洞尚未被修補前,擴大尋找運行相關系統的標的,IT管理者須得多加留意。
此外,在地化情資更有助於辨識刁鑽的滲透手法,NEITHCyber實驗室從2020年開始追蹤至今的Telegram中文化釣魚網站即為典型案例,累計可變換超過10個不同網域名稱,即便是國際大廠的情資資料庫也難以精準判別中文化真偽。再加上攻擊者為了擴大感染,Telegram釣魚網站甚至訂購Google搜尋引擎廣告,當用戶輸入「Telegram中文化」關鍵字,第一則即為該釣魚網站,如此一來,用戶自然相信為官方網站釋出的中文化套件。攻擊者成功進入內網後,低調隱匿以免被偵測發現,若非NEITHInsight輔助辨識,諸如此類惡意程式活動恐難以及早被發,正是在地化情資關鍵優勢之所在。
新聞來源:網管人
《拿好禮》9/20-22資安大會【防駭不停歇 快來NEITHNET】多項好禮送給你
2022/09/13