很快關聯分析我們來到的第三天的分享,
我們從基本到進階,大概簡略的介紹了關聯分析本身,
以及它可以跟其他面向的威脅偵測機制做整合應用。
今天在關聯分析的最後一篇,
我們要來從應用層面,看看關聯分析規則應用的好與否,
可以讓資安管理單位享受到什麼的效益?
我們又如何可以知道現況的關聯分析機制效果又是如何?
所以今天我們也會透過 MITRE ATT&CK 攻擊矩陣,
來作為檢視與比對關聯分析機制的一個基準參考。
隨著組織面臨各種不同與變化的資安威脅
我們開始會陸續增加不同種類與內容的關聯規則,
也會開始會把相似的威脅或資安事件,
透過一個個所謂的「案例」(Use Cases),
來開始有效的「承上啟下」發揮整體 SIEM 威脅偵測的功能,
承上:透過打包好的威脅案例庫,提供分析師靈活運用,
啟下:第一線的日誌收集、關聯規則的設計等等。
Use Cases 可以協助我們將遇到抽象的威脅情勢,
協助我們轉換與落地到實際工具的層面以及後續相應的行動。
而一個個好的 Use Cases,能夠有效提升整體威脅偵測的有效性。
MITRE ATT&CK 是近年非常知名的攻擊矩陣,
把駭客常用的攻擊手法,透過矩陣框架的形式做總理,
讓資安分析師可以知道資安事件對照到駭客攻擊手法是哪些。
一方面透過攻擊矩陣可以了解駭客使用的攻擊類別,
或是特定駭客組織攻擊行為的偏好步驟或程序,
提供給企業了解資安事件背後流程細節與建議防範方式的參考。
同時攻擊矩陣也是作為一個擁有完整攻擊資訊的來源,
它也能夠讓組織透過與之對應的對照來檢視自身防護程度,
例如有無包含與涵蓋到特定類型的攻擊手法的保護等等。
意即,MITRE ATT&CK 對於組織而言,
是對照與調整組織威脅偵測(Detection)策略現況很好的工具。
在 MITRE ATT&CK 攻擊矩陣中,
主要區分攻擊前與攻擊後的兩個核心階段,
攻擊前階段,主要集中在目標選擇與弱點發掘的手法;
攻擊後階段,則是集中在惡意程式遞送、執行、連接與資訊外洩手法,
因此攻擊矩陣可以作為我們搭建 SIEM 關聯分析引,
與 Use Cases 時可以參考的攻擊偵測涵蓋範圍。
典型設計一個 Use Case 時,
大致上會按照以下的流程來設計:
Use Case 是 SIEM 能把關聯分析規則連接應用面的重要工具,
因此如何與時俱進的維護好每一個 Use Case 的有效性,
是 SIEM 平台能否發揮它高效威脅偵測能力的關鍵所在。
在關聯分析系列的最後,
我們要來看看可以如何來衡量關聯分析的有效性:
「如何知道關聯分析規則的有效性?」
「如何知道關聯分析涵蓋的層面廣度?」
MITRE ATT&CK 攻擊矩陣當中一個個的 Uss Cases,
也可以拿來當作跟我們自身 SIEM 的案例庫對照。
也就是除了在資安事件當中關聯出駭客手法與流程外,
我們也能運用攻擊矩陣當作關聯分析有效性的外部標準。
舉例來說,
假設我們希望能設計出能夠偵測到 25 種勒索軟體的關聯規則,
「一種是我們用了很多關聯規則去實現偵測機制」
「一種是我們設計了一條專門的關聯規則去偵測到」
兩者都能夠達到相同的偵測目的、也沒有所謂的標準答案,
但是在衡量「覆蓋範圍 (Coverage map)」的維度上,
第一種無可避免的會比較偏向防勒索病毒的偵測戰技,
在視覺化的表達上也顯示出兩者涵蓋面與傾向的不同:
我們可以看到前、後的關聯分析規則集,在參照一個固定的攻擊矩陣之後,
後者在攻擊矩陣各個維度與面向,都能夠覆蓋到不同戰技偵測的廣度。
這樣的思維與作法,可以幫助我們可以隨時檢視自身的案例庫與關聯分析,
哪邊還能再調整去接近理想上想要涵蓋的攻擊角度,或是
在我們現有的關聯分析引擎與機制中已滿足多少的涵蓋層度?
因此攻擊矩陣可以有效幫助我們,
衡量關聯分析引擎的有效性與調整的指導性方向。
這三天我們從基本篇、進階篇到今天的應用篇,
從最基本的一條關聯規則怎麼撰寫,
到進階的威脅優先序、威脅情資與動態風險等,
到今天的著重在 Use Cases 案例庫的應用等,
以及透過攻擊矩陣來量測與優化關聯分析引擎。
還有許多很多關聯分析的應用與實務經驗能夠著墨,
但先不著急,我們先抓大放小、著重在概念層級的了解即可。
那關聯分析的三部曲,我們就在今天做個小結了!
謝謝各位邦友,關聯分析的三篇基本、進階與應用篇,
就在中秋連假這幾天結束了,希望不會讓各位感到太枯燥。
特意帶到一些細節的呈現,是希望能讓更多人看到資安規劃背後,
可以看見很多都是由辛苦的資安工程師幫我們逐步實現出來的。
明天開始,我們會進入到告警與報表的階段,
也就是進入到威脅偵測之後的「威脅回應」階段。
還請敬請期待,也邀請各位邦友如果喜歡的話,
再幫我多多分享、能讓更多資安好朋友認識 SIEM。
iThome鐵人賽
看影片追技術