讓資安團隊保持最佳狀態因應網路意外事件,桌上兵棋推演 ( Tabletop exercises ) 是絕佳方式。CISA 針對時下主要威脅提供樣板下載,助你贏在起跑點。
文/Chris Hughes‧譯/柳百郁
資安領導者奉行法則就是:問題不在是否,而是何時將成為網路安全意外事件的受害者。有鑑於此,CISO 常透過實施意外事件應變與營運永續性規劃,超前佈署應對這種必然發生的狀況。但沒有執行桌上兵棋推演:以特定資安意外事件與場景為導向的排練演習,就無法得知你的規劃或你的團隊是否已站穩腳步因應真實世界的意外事件。
美國網路安全暨基礎設施安全局 ( CISA ) 為未曾執行桌上兵棋推演,或在設計特定場景上有時間壓力的人,提供詳盡的桌面兵棋推演套件 ( CTEP ),讓資安領導者領先一步。
以下 CISA 三大 CTEP 樣板化套件,因為可供所有企業組織使用的深廣度與彈性特質,創造出驚人價值。
場景 1:遭破解的開放源碼軟體套件
軟體供應鏈攻擊持續升溫,惡意行動者漸漸鎖定開放源碼軟體 ( OSS ) 套件,就是因為投資報酬率高。與其鎖定單一企業組織或產品,攻擊者體認到不如破壞廣泛使用的 OSS 套件,對下游造成可觀影響。
對企業組織消費的 OSS 元件完整清單缺乏能見度-無論是直接用於內部開發目的,還是透過供應鏈廠商產品而來,都讓問題加劇。Synopsys 這類企業組織指出,有 70% 至 90% 現代程式碼庫內含 OSS 元件,而該 OSS 元件佔整體程式碼庫 70% 或更多。
這些元件,雖然具有節省成本、速度與效率等關鍵優勢,但也伴隨缺乏維護資源等風險,有 25% 的 OSS 專案僅單一維護人員,而有 94% 少於 10 位。
這就是何以 Sonatype 這類企業去年發現 245,000 個惡意套件,是追蹤報告前幾年發現總合的兩倍。
從 Log4j 到最近的 XZ Utils 恐慌,OSS 生態系統有企業組織不得不面對的致命風險,這正是 CISA 釋出 OSS CTEP 的動機。
OSS CTEP 組織結構
CISA 的 OSS CTEP 組織結構超過 180 分鐘,含括各種活動,最後結束於檢討會議。,整體目標圍繞著 NIST CSF 治理、識別、保護、偵測、應變與回復各階段。關鍵目標包括:
- 討論組織的復原力與針對開放源碼專案威脅的應變。
- 讓利害關係人在 OSS 專案引發網路意外事件期間,熟悉報告處理及各自角色與職責。
- 確定意外事件報告處理、政策與程序的改善空間
- 檢查網路意外事件期間,公共、私有與社群利害關係人間的應變協調工作
CTEP 列出幾個場景,內容涉及將漏洞導入 OSS 社群工具鏈,引發全球系統感染,與弱點更新相關的延遲。
雖然多數 CTEP 目的在於提供 OSS 社群與維護者本身可採取行動的練習,但它也為企業組織提供相當有用的框架。
OSS 風險相關重點提問
關鍵問題包括:
- 我們是否瞭解消費與使用的 OSS 元件、它們存留在哪些系統中、哪些廠商將它們整合到我們使用的產品之中 ?
- 發生 OSS 套件遭到感染的事件時,我們如何遵循 NIST 界定的意外事件管理生命周期,做出因應並從意外事件回復 ?
- 我們可以採取哪些行動緩解企業組織受影響系統與產品的風險 ?
- 如何在更掌握本身消費與使用 OSS 專案與元件相關風險的情況下做出決策 ?
- 為確保對供應鏈廠商的產品元件保持透明度,以免將風險轉嫁給我們,應如何與廠商應對 ?
這些發人深省的問題與活動的成果,可以編入組織政策與處理程序,進而強化企業組織因應 OSS 軟體供應鏈攻擊的復原力。
場景 2:勒索軟體攻擊
勒索軟體很容易成為惡名昭彰、無所不在,嚴重破壞數位生態系統的攻擊媒介之一。據估計,勒索軟體攻擊者在 2023 年帶來的網路攻擊加密貨幣支付贖金總額 5.67 億美元,是 2022 年的兩倍。
勒索軟體攻擊者想要存取資料或系統,直到滿足某種型式的報酬或需求為止。著名的意外事件包括 2021 年對 Colonial Pipeline 的攻擊,不僅造成財務後果,還產生社會影響,讓公民廣泛意識到網路攻擊會影響日常生活。其他著名事件還包括 Wannacry、NotPetya、Locky 等,這份名單持續成長中。
如今可以看到勒索軟體即服務 ( RaaS ) 訂閱式模式的進化,勒索軟體集團販售程式碼或存取權,給攻擊者或有興趣的一夥人。他們販售或出租勒索軟體的改編版本給買方,這點相當吸引人,因為以 2021 年估計為例,勒索軟體的平均要求為 600 萬美元。
增強勒索攻擊的復原力
CISA 的 CTEP Situation Manual for Ransomware (勒索軟體狀況手冊) 可用於桌上兵棋推演,提升針對勒索軟體攻擊的復原力。與 OSS CTEP 極為相似的是,同樣也是 180 分鐘長度,內容涉及整個組織各類型利益相關人,與針對 NIST CFS 的各種活動
關鍵目標包括:
- 檢查企業組織在重大勒索軟體事件期間的應變能力。
- 檢查協同合作資訊共享的能力。
- 確認網路意外事件應變規劃與組織復原力需要改善的範疇。
- 探究並改善企業組織從意外事件恢復,並回復服務、關鍵任務資源或系統的規劃。
有種情況是企業組織員工被釣魚攻擊電子郵件鎖定,成為網路/系統的切入點,攻擊者感染 PII 資料,並安裝勒索軟體,這是相當常見的場景。
其他場景還有新勒索軟體變種的 CISA 警告,接著是處理到達使用年限的作業系統、員工遭竊的筆記型電腦,與員工寄送帶有 PDF 附加檔的可疑電子郵件聯絡財務副總裁。這些場景聽起來太熟悉,因為就是經常發生。
在公司環境處理這些情況既煩人又充滿挑戰,因為企業組織會疲於奔命試圖理解發生了什麼、這些事可能造成的影響,以及一旦確認實際影響,該如何對付這些威脅,從中復原。
瞭解威脅作好準備
勒索軟體 CTEP 探索企業組織營運復原力的各個層面,針對理解組織威脅、攻擊者利用哪些資訊,與如何實施風險評估提出關鍵問題,找出關鍵資產特定威脅與弱點。
有鑑於勒索軟體著眼於資料與系統,這個場景會提問關於財產目錄準確性的關鍵問題,以及是否有適切資源專門用於緩解面對網際網路系統上已知遭到利用的弱點。
這其中的活動不僅包含備份,還包括備份留存期間,與瞭解如有必要在勒索軟體攻擊這類事件中從備份復原要花多久時間。
桌上兵棋推演期間提出的問題,還包括著重實施存取零信任架構或是缺乏此要項。這點非常重要,因為零信任強調最低許可權存取控制與網路分段,這種實作方式能夠限制攻擊橫向移動,還可能防止機敏資料、檔案與系統被存取。
這個演練還包含評估員工的網路安全意識訓練。在緩解勒索軟體風險時這是基本要素,因為一開始的攻擊媒介就是透過釣魚攻擊與其他社交工程戰術鎖定員工。
結合員工回報可疑釣魚攻擊嘗試的處理程序,這種健全的網路安全意識訓練課程,有助於在可疑活動可能正在進行的當下,提升資安團隊與整體企業組織間的意識。
想像駭客攻擊的典型勒索場景
場景還可以進一步納入標準營運時間外的封包流量、整個企業組織系統接收到勒索訊息與空白畫面,以及資安研究人員發現駭客集團在暗網上發佈正在攻破你企業組織的相關資訊。這是假設駭客已存取社會安全號碼 ( SSN )、銀行資訊等這類機敏個人各識別資訊 ( PII ),分享這些記錄的一部份證明他們成功。
這導致內部桌上兵棋推演的問題導向復原力規劃,像是維持基本功能營運永續性與備有意外事件應變規劃,還能排列優先順序與執行 IT 回復。此外還有能夠區別正常與異常網路封包流量,擁有編寫完成的網路安全性意外事件應變規劃 ( IRP ),讓員工能據此受訓與實作 ( 就像桌上兵棋推演一樣 )。
依據受感染資料性質,企業組織還有法律層面要考量,這也是何以場景中問題含括瞭解特定國家、州與產業的安全性漏洞通知法。
這是一個不斷進化的網路安全領域,例如關鍵基礎建設網路意外事件報告法 ( CIRCIA ) 在關鍵基礎架構上的努力,以及美國證券交易所 ( SEC ) 針對發生「重大」網路安全意外事件的公開上市公司所作的改革。企業組織必須精通有關揭露資訊的要求,通盤考量溝通上的規劃,確保合規性並適切傳達訊息給大眾與法規管理機構與新聞媒體管道。
從法律與執法角度來看,還要瞭解必須邀請哪些外部合作夥伴參與,這些全都是企業組織在勒索軟體意外事件發生之前必須知曉的。
場景 3:內部威脅
CISA 針對內部威脅的 CTEP 內容為假設性場景,不滿的離職員工利用經由企業組織協同合作的第三方廠商獲得的存取權限,不當利用系統漏洞。
有鑑於固有的第三方風險與苦於管理不斷增長的供應鏈長度,系統與環境間經由網路連結、API等的不斷整合,這是可信度相當高的場景。
一開始的場景是來自 CISA 的警示,提及關於整個企業組織特定微處理器發現漏洞,攻擊者能夠存取機敏資料。置換硬體可能太昂貴又耗時,所以這個威脅無法立即完全緩解。
值此同時,一名員工因不當對待同事遭到解雇。離開之際,該名前任員工威脅企業組織將後悔做出這個決定。
這個場景會產生一些問題,測試企業組織實際上如何從 CISA 這類業界資源接收此類警示,以及處於相關與可能威脅時,如何採取行動。
前任員工的不良行為是典型威脅
考量到該員工不良行為與威脅姿態的歷史,場景還會提出關於應該如何處理具爭議的解雇,與企業組織是否備有解雇處理期間取回員工公司設備並移除存取權的處理程序。此舉激發企業組織考量該採取哪些步驟,確保前員工無法再存取組織的系統與資料。
這種場景下,員工回報檔案遺失與遭變更並刪除備份。資安人員介入,確認出現管理者級別的存取,系統與檔案遭到篡改。該帳號被解除,但一開始還不知道損害程度。
桌上兵棋推演期間必須思考的問題包括:
- 企業組織保存備份時間多久 ?
- 從備份中回復要花多久時間,這個程序是否實際測試過 ?
這個桌上兵棋推演還會引發企業組織討論如何準備因應發現未授權管理性質的活動、該通知誰與如何通知。
協助資安團隊思考必須完成的一切兵棋推演點在於強迫資安團隊考量意外事件應變需要哪些資源,必須援用哪些處理程序緩解來自內部威脅惡意活動的影響。還可能必須聯絡執法單位並充份記錄意外事件,以便依法追查攻擊者並追究惡意活動的責任。類似場景可能發生也經常出現,前員工對前雇主逐漸不滿,想方設法利用知情的內部資訊,嘗試在技術、財務與聲譽上破壞或造成負面影響。企業組織必須擁有全方面規劃與適切處理程序,讓惡意活動停止、緩解造成的影響,因應意外事件並回復,依法追究內部人員對其作為負責。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
