結構化威脅偵測:Microsoft 威脅防禦專家,將客戶防禦列為優先要務的方式之一
今日的威脅版圖正以驚人的速度快速變化。新的攻擊活動隨時都在進行,而其造成的損害範圍並非馬上就會顯現。資訊安全作業中心 (SOC) 必須具備所需工具與深入解析,才能在攻擊者設置好持續發動的機制、偷渡資料出來或是部署勒索軟體等裝載之前,成功識別並解決影響程度較大的潛在威脅。
在 Microsoft,威脅搜捕專家每天都與先進系統並肩作戰,一起分析數十億的訊號,試圖從中尋找各種可能影響客戶的威脅蹤跡。有鑑於資料量龐大,我們鉅細靡遺地搜捕威脅,目的就是希望在第一時間準確地加以揪出,並通知客戶。此舉可確保客戶透過我們的產品和服務回應環境中最嚴重的威脅,像是運用受管理的威脅偵測服務 Microsoft 威脅防禦專家,提供客戶專家級的監控與分析。有了 Microsoft 威脅防禦專家,客戶會取得針對性攻擊通知,藉此識別最重要的風險並提供技術資訊,以及威脅搜捕與降低指南。此外,客戶還能透過隨選專家 (Experts on Demand),獲得我們的分析師諮詢服務。
組織可透過 Microsoft 威脅防禦專家和 Microsoft 分析師協同合作,汲取他們在處理關鍵事件上的專業經驗。在此協同合作關係下,Microsoft 分析師還能取得寶貴的深入見解,了解實務上的各項威脅、攻擊者在企業網路內部的運作方式,以及資訊安全作業小組的運作方式。所營造出來的環境有助於彼此互相學習與創新,進而改善我們的流程、保護與服務品質。
在威脅搜捕上採取結構化策略,是我們與客戶進行緊密協同合作時所採取的方式之一。真人分析師憑藉 AI 技術,協助客戶搜尋潛在威脅。有了 AI,我們的真人分析師得以梳理出資料事件中需要特別檢視的項目。人員執行初步的搜捕,再驗證 AI 的搜捕結果,最後針對個別潛在威脅提供深入的分析與脈絡資訊。只要將人類與 AI 個別擅長的部分結合運用,就能快速處理大規模資料。此流程最終將決定需要優先因應的潛在威脅。
我們的策略是依據實證存在的潛在威脅可能造成的損害範圍,評估其影響範圍並向上提報以供調查。此外,這項策略也滿足了時效性需求:由於威脅應變的高度時效性,我們的資訊安全分析師需要確保最危險的潛在威脅優先進行分析。
Microsoft 分析師會在此流程一開始提出假設,說明他們從我們的資料當中所發現的可疑行為。當假設通過我們的初步品質檢查,接著就會進行自動化搜捕作業並收集各項觀察結果,最終據此確認或是排除各項可疑情況。
當我們收集到更多證據,就可以開始將觀察結果分成不同的潛在威脅組別,然後執行一系列運算來評估可能承受的衝擊。此處我們用來評估潛在威脅的重要數值之一,是我們在各種觀察結果中所發現的多樣性數量。當觀察結果越多樣,代表潛在威脅可能產生更廣泛的衝擊。
這時會合併考量潛在威脅的衝擊力計算結果,得出最後的優先排序分數。然後使用優先排序分數並依據每個潛在威脅的急迫性來加以排序。較可能造成毀滅性衝擊的潛在威脅會獲得較高的優先排序分數,以便在更短的時間內有效因應。
經驗豐富的威脅防禦專家會開始調查並分析排序完成的潛在威脅。一旦威脅獲得證實,我們的分析師就會深入調查,並開始收集各項資訊,而我們的 Microsoft 威脅防禦專家服務客戶則可藉此確保安全。他們會在收集好技術詳細資料後,提出各項資訊安全建議。受影響的客戶會立即收到針對性攻擊通知,內含威脅的詳細資訊,以及自我防禦的做法。圖 1 概述了這些步驟。
我們的流程運用自動化搜捕與 AI 來加速決策過程,人員則負責定義所有觀察結果、調整與微調參數、執行事件分類,然後制訂要傳送給受影響客戶的針對性攻擊通知。深入探究我們的流程後,您會發現分析師如何頻繁地運用自動化,以確保客戶安全。
搜捕潛在威脅
流程一開始,威脅搜捕專家依據潛在威脅相關資訊提出假設,例如「攻擊者試圖入侵系統程序中的某個漏洞,以便從遠端執行程式碼」,然後衡量訊號雜訊比並使用已知資料集,確保準確度介於可接受範圍內,進而驗證假設為真,接著將假設模型建置在我們的搜捕系統當中,由後者自動執行資料收集、關聯與充實。
這些自動化系統透過我們的遙測技術,收集來自多個裝置且通常來自不同攻擊階段的觀察結果。每一項觀察結果都代表一項假設的執行個體。在範例中,我們可以看到系統程序、系統程序的作用,以及傳遞至該程序的所有引數。檢視與該假設相關聯的觀察結果,有助於分析師判斷假設的執行個體是否為真。
這些觀察結果接著會分為不同的潛在威脅組別,代表我們對於一系列觀察結果的現有了解。如果這些觀察結果真實反映了惡意行為,那相關詳細資料便會顯示出其對客戶運算基礎架構的攻擊行為。檢視與這些觀察結果相關聯的資料有助於我們了解哪些潛在威脅可能造成最嚴重的損害,以便我們針對更嚴重的威脅制訂調查的優先順序。
制訂優先順序
當潛在威脅證實具有惡意時,一旦牽涉到組織內許多裝置並與許多獨特的攻擊階段有所關聯時,造成嚴重損害的可能性就越高。當我們將涉及單一觀察結果的已確認威脅隔離至單一機器時,此威脅造成相同衝擊的可能性就會降低。
同理,當潛在威脅的觀察結果符合許多不同的搜捕假設時,就越有可能造成更多衝擊。如果潛在威脅具有惡意,更多樣的假設就代表了範圍廣泛的攻擊行為將以各式各樣的方式入侵組織基礎架構的諸多層面。
因此,涉及更多不同假設的潛在威脅,更容易對我們的客戶產生巨大衝擊,而 Microsoft 威脅防禦專家也會將其列入優先調查對象。
運用多樣性來排定潛在威脅的處理順序
我們該採取何種方式來計算潛在威脅不同層面的多樣性?Microsoft 威脅防禦專家使用源自資訊理論的熵 (entropy)。熵計算的是如果我們知道一個集合的元素,並且想識別出集合的隨機元素,平均會需要用掉多少位元數 (或是利用是非題)。
內含的元素全都相似的集合,其熵值為零。此外,具有更多獨特元素的集合,或是具有更多相等比例的獨特元素,熵值會更高。
我們運用熵來計算每個潛在威脅觀察結果可能具有的多項屬性,藉此決定哪些潛在威脅需要迅速回應。例如,我們會對每個潛在威脅的觀察結果,計算其相關假設的熵值。我們還會對潛在威脅的觀察結果,計算其相關 MITRE 技巧的熵值。
AI 自動計算這些類別各自的熵值以及其他因素的數值,例如個別觀察結果相關假設的嚴重性等級,隨後再將這些數值合併計算,得出威脅的整體優先排序分數。
計算最後的優先排序分數
由於我們的最終分數會將潛在威脅的諸多資訊種類納入考量,因此需要一個將這些數值合併計算的方法。為此,我們將每個計算結果轉換成 P 值。
P 值代表我們預期在該類別具有特定數值或是較大數值的潛在威脅百分比。舉例來說,當 MITRE 技巧熵值當中只有 5% 大於我們的計算結果值,則潛在威脅假設熵的 P 值將為 0.05。
我們使用收集自相同潛在威脅的其他數字 (有些是依據熵,有些則不是),執行相同的 P 值轉換作業。我們接著將這些 P 值全部合併計算為最終的優先排序分數。
驗證潛在威脅
最後的優先排序分數會用來排序潛在威脅,讓最關鍵的潛在威脅得以在最短時間內進行分析。等到潛在威脅已分析完畢,專門的資訊安全專家團隊就會查看結果,然後執行深入分析以判斷威脅的真偽。
分析師從可能受影響的裝置和網路取得相關資訊加以使用,密切調查與潛在威脅相關的可疑活動。他們會搜尋裝置時間軸上的非預期事件、入侵指標,以及其他可能出現惡意行為的證據。
一旦威脅獲得驗證且活動證實具有惡意時,我們的專家就會開始判斷其完整影響範圍並保護客戶安全。當我們確定已驗證威脅的相關活動蹤跡,並將受影響系統的技術詳細資料收集完畢之後,團隊就會接手制訂安全性建議以利防範威脅。
Microsoft 威脅防禦專家:協助防禦者自行解決問題
每當我們在 Microsoft 威脅防禦專家的客戶環境中發現並驗證重要威脅,就會立即發出針對性攻擊通知。這些特殊的警示能夠對威脅事件提供深入的脈絡資訊,詳細解說個別客戶獨特的環境內容。
針對性攻擊通知的目的是在關鍵攻擊活動對網路造成危害之前,協助 SOC 制訂應變計畫。這些通知能夠凸顯最關鍵的威脅,明確指出需要積極處置的項目。此外,其中還包含重要的技術詳細資料,有助於 SOC 快速處置進行中的威脅。客戶可收到組織內觀察到的事件執行軸以及各項進階的搜捕查詢項目,讓威脅活動浮上檯面。這些細節有助於我們了解攻擊流程及探索威脅範圍。
優先排序案例研究
我們的流程有助於彌平各項落差,凸顯潛在威脅的真實影響範圍。最近我們的機器學習偵測到與勒索軟體前期活動有關的威脅。除了 Microsoft 威脅防禦專家所提供的脈絡資訊外,似乎有另一個廣泛傳播的 Qakbot 活動執行個體正在進行。此威脅一開始所展現出來的樣貌,並不比相同活動的類似執行個體還要危險。
不過,當 Microsoft 威脅防禦專家優先排序流程將所有證據拼湊在一起後,發現該威脅可能是該月份最具衝擊性的攻擊行為之一。該威脅經由熵度量後,確認與一系列不同的搜捕假設有所關聯,因此 Microsoft 威脅防禦專家便將之列為高優先主動調查項目。由於此流程將其列為極高的優先處置順序,Microsoft 威脅防禦專家很快地便對此潛在威脅進行評估。
潛在威脅不只證實為真,而且如預期般相當危險:雖然其所運用的技巧絕大部分都與進行中的 Qakbot 典型活動相似,但進展至偵查與認證遭竊的行為卻格外迅速。此外,由於攻擊者用來發動後門軟體的方法,即便成功偵測到威脅活動並發出警示,也無法完全修補。
這類進展通常與初始進入活動流程無關,但與嘗試橫向移動的人為操作有關。攻擊者看似急著探測各項背景資訊,以便造成最大程度的損害。此外,Microsoft 搜捕專家也識別出在勒索軟體攻擊中也會使用的相同技巧,表示有心人士可能很快就會採取行動,要求支付贖金來贖回組織裝置。眾所周知 Qakbot 會協助發動勒索軟體即服務 (RaaS) 活動。在 RaaS 活動模式當中,發動 RaaS 的有心人士會與同夥合作並提供工具,以利發動勒索軟體攻擊。這些同夥藉由購買網路的存取權限,入侵已遭到 Qakbot 等惡意程式碼感染的網路,達到部署勒索軟體裝載的目的。
Microsoft 威脅防禦專家服務的分析師立即通知組織,並就如何處置已驗證的威脅提供建議。Microsoft 威脅情報中心 (MSTIC) 與 Microsoft 偵測及回應團隊 (DART) 內的安全性研究人員與專家共同提供了進一步協助,防範攻擊行為變得更加嚴重。遭鎖定組織內部的防禦人員要採取行動來修補威脅漏洞時,此舉便大有助益。Microsoft 與被鎖定的組織之間的協同合作最終成功擋下了攻擊活動。儘管攻擊者在組織廣泛進行橫向移動,且近乎達成目標,但組織並未受到勒索軟體影響,並能夠進行修復。
強化組織能力
在本範例與許多其他範例當中,來自 Microsoft 威脅防禦專家的通知在降低威脅對組織造成的損害程度上,具有相當重要的意義。當組織接收到現有威脅的完整警示,就能採取立即行動並使用來自通知的資訊修補威脅,同時透過適用於端點的 Microsoft Defender 取得調查工具套件以執行進一步分析。
針對性攻擊通知並非 Microsoft 威脅防禦專家所提供的唯一輔助。組織還能透過購買隨選專家,向我們的專家傳送詢問。客戶可透過「隨選專家」向專家請益,獲得更多警示的脈絡資訊、釐清資安事件的根本原因,或是接收有關如何保護組織安全的個人化指南。
SOC 可透過 Microsoft 威脅防禦專家,快速果斷地回應。了解組織如何透過 Microsoft 威脅防禦專家取得專家等級的監控與分析服務。
資料來源: 微軟官方部落格