俄羅斯相關進階持續威脅最新報告,為CISO提供有助於評估民族國家攻擊者所致風險的範本。
文/Dan Swinhoe‧譯/Nica
雖然這些攻擊僅佔整體威脅範疇的少數,但國家民族相關攻擊者帶來的破壞卻最大。網路安全社群中有部份人深信,這些威脅攻擊者非常堅決、經驗老道又無法預料,令絕大多數企業組織難以防禦。
然而,博思艾倫諮詢公司(Booz Allen Hamilton)最新報告表示,俄羅斯相關威脅攻擊者採取的行動,會依循一連串可預測模式與準則。這讓處於風險的企業組織有機會做好面對攻擊的準備。報告中的調查準則概念,適用於其他隸屬於國家的進階持續威脅(APT)組織。
國家民族攻擊背後的政治
知曉為何自己可能成為目標,是抵禦民族國家威脅的第一步。大多數APT組織隸屬政府,而大部份政府都會公開長期的策略性目標。
「地緣政治發展在網路運作上的特殊意義,是威脅情報中的盲點,」博思艾倫諮詢公司網路業務資深副總裁 Brad Stone 表示。「企業組織應該瞭解更審慎思考地緣政治因子如何影響其網路安全的價值,還必須將地緣政治情報整合到網路安全能量裡。」
FireEye的EMEA公部門資深主管 Kah-Kin Ho 認同瞭解政治相當重要,因為它不僅可以讓CISO瞭解可能的威脅攻擊者,也有助於指引所有資安部門進行策略與營運決策。「CISO對長期目標與即時地緣政治的瞭解同等重要,因為它們是策略情報的基本要素。」他表示。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
Ho補充說道,CISO可藉此資訊,證明在人才與應對措施上的投資。還有助於找出應該調查的威脅偵測警示與尋求的威脅獵人團隊,優先順序為何。
CISO通常難以理解,地緣政治如何考量決定它們是否可能成為目標。「企業組織多半將問題侷限在『國家攻擊者怎麼會對我有興趣?』這種太過狹隘的想法,」Stone表示。「其實國家級敵手極少仇視特定企業組織。相對地,對他們而言,目標不過是達成最終目的的手段。」
「建立整體有組織的剖析第一步,就是認真思考你在做的事、擁有什麼資訊、認識哪些人、你所處位置與提供的服務。接著,思考這些偏離散的組織層面對威脅攻擊者而言是否重要。最後,應該利用上述這些瞭解建立自己的風險模組。」
瞭解俄羅斯網路攻擊者動機
俄羅斯軍事情報局(GRU)透過隸屬組織APT28 (Fancy Bear) 與Sandworm (Quedagh/Voodoo Bear),對全球政府、國防、媒體與其他重要組織的高階目標發動網路攻擊。博思艾倫諮詢公司分析與俄羅斯相關長達15年(2004至2019年)的200次網路事件,宣稱發現這些組織的行動與俄羅斯聯邦公佈軍事政策處理的連結。當企業組織面臨足以影響風險剖析的類似地緣政治發展時,這個發現可以引導企業組織該怎麼做。
「基本上,國家級敵手是以符合戰略理論的方式,執行回應國家任務要求的組織。」報告內容如是說。「GRU使用與公開戰略概念一致的處理方式執行任務。瞭解敵手為什麼這麼做,防禦人員更能預料這些行動可能何時、何地與以何種型式發生,繼而以這些見解為基礎,審慎進行緩解風險的動作。」
博思艾倫諮詢公司宣稱,大部份由俄羅斯資助的行動皆遵循 The Military Doctrine of the Russian Federation 概述的一系列準則。最近2014年更新的這份官方政策文件提及俄羅斯聯邦的「外部危險」,被解釋成「軍事威脅」行動,與聯邦為「阻止與預防軍事衝突」所採取的行動。
這個理論含括兩個要項:評定GRU網路作戰方式與識別 Russian Armed Forces 會回應哪些特定狀況並如何反應,至關重要。它們有助於確定俄羅斯軍隊可能於何種情況下發動網路戰。企業組織可以此資訊為模型,通盤考量先前GRU網路活動並預測未來攻擊。
博思艾倫諮詢公司坦承GRU並非發動網路戰的唯一俄羅斯政府機構,但它是文件紀錄最齊全且公開涉及最廣的網路攻擊。全球政府皆提出證據指出GRU涉及這類戰役。
國家資助的網路攻擊遵循軍事準則
博思艾倫諮詢公司在準則裡找出23個重要動作與條件可能是武裝衝突的前奏,內容包括:
- 「外部軍事風險」,例如鄰近俄羅斯或其同盟國未經授權使用國外軍事武力,或者領土邊界種族、宗教與文化的分歧。
- 「內部軍事風險」,像是俄羅斯歷史、精神與愛國情操傳統的抵毀,或者俄羅斯文化爭議的挑釁。
- 「軍事威脅」,強化戰鬥整備,或在鄰近俄羅斯及其同盟國演習期間使用軍事武力諸如此類。
這份報告說明了軍隊如何透過確認與評估潛在風險與威脅並適切回應,避免或解決衝突。GRU透過網路間諜活動、網路與通訊監控與資料搜集及竊取等類似行為確認風險。可能洩漏機密資料干擾潛在風險。
報告指出,「GRU行動應被視為信念、理解與情感上長期對峙的俄羅斯的一部份,會影響俄羅斯進一步推動政策信念與保障其戰略利益的能力。」
舉例而言,GRU在2016年,試圖利用DDoS攻擊各類媒體網站、非政府組織(NGOs)、政黨與電信公司,妨礙黑山共合國(Montenegro)加入北大西洋公約組織(NATO)。還發動魚叉式釣魚攻擊戰役,針對黑山共合國政府成員,以軍事及NATO為主題的字眼,引誘他們「意識到可能的軍事風險與威脅」。
另一個知名案例則是俄羅斯在興奮劑醜聞事件後針對世界反興奮劑組織(WADA)與 International Olympic Committee (IOC) 的攻擊。明令禁止運動員從事體育活動,被解讀為對俄羅斯文化的威脅,因此APT組織採取一連串軍事行動,包括利用社交媒體假消息與宣傳,「巧妙運用社交或政治環境」、利用OlympicDestroyer惡意軟體「精準執行破壞性攻擊」,以及「廣泛利用進階武器與技術」在當地破壞WADA與美國反興奮劑公家機關使用的Wi-Fi網路,竊取公務人員身份驗證並存取反興奮劑紀錄資料庫。
博思艾倫諮詢公司的報告將其他事件:烏克蘭攻擊、民主黨全國委員會(DNC)資料外洩、英國電視的伊斯蘭頻道及海灣合作委員會聯盟,與軍事準則(Military Doctrine)裡會引發俄羅斯採取行動的原則條件進行了比對。
如何找到政治動機APT攻擊的行為指南
CISO不必是瞭解複雜國際關係的專家。但應該有一定程度的警覺,每隔一段時間對全球概況進行瞭解,以便評估與瞭解地緣政治走向會對其企業組織風險剖析造成如何的影響。在考量新的收購或合併與擴充切入新市場時,亦應評估地緣政治風險。
退役空軍准將/美國政府前聯邦CISO,現為卡內基美隆大學海因茲學院成員 Greg Touhill 認為,大型企業 ─ 尤其是經營公眾領域或高標準領域的那些,應投資專門人員監控政治與法律環境。「成功的CISO會與法律顧問保持良好關係,定期參與法律與立法領域的審查。預測政治觀點或領導方式改變時會有哪些影響,應是彼此對話內容的一部份。」
FireEye的Ho接著表示,若企業有風險長(CRO)一職,CISO就應該在CRO評估各種風險時與之協同合作,因為地緣政治風險絕對應該考量在內。他也建議與國家資安服務維持密切關係,因為他們可以針對潛在敵手的活動提供策略與戰略警告。
CISO的難題,則是向業務單位與董事會談論這些風險,後者可能難以理解何以威脅攻擊者會將目標對準他們的企業。「一旦CISO評估到網路風險的存在,」博思艾倫諮詢公司的Stone說道,「以股東可以理解的措辭,向各個不同的股東說明這個風險的潛在影響,至關重要。與這些股東協同合作,是精準量化影響,並在其支持下推動機構行動決定性的一環。」
Ho補充道,在評估風險時,CISO可以想想拉丁片語「Cui bono」這個字,我們翻譯成「由誰得益。」「指的是當我們發現自己處於緊張的地緣政治環境下,身陷資料外洩攻擊,導致財產毀損或智慧財產損失時,誰會得到好處。找出這個問題的答案,有助於找出資源與應對措施的投資方向。」
展現這些資訊時,Ho建議CISO從業務影響與真實世界受損的角度出發。「CISO可以這麼說:『上一季,我們成功偵測並封鎖隸屬國家A的兩個威脅攻擊組織,他們主要手法是針對石油與瓦斯作業使用的工業控制系統進行毀滅性網路攻擊。若敵手的操作手法成功,將導致我們現場作業同仁傷亡,還會讓石油生產作業停工至少兩周,估計將損失一億美元的收益。』」
Touhill補充說道,企業組織不要害怕請教議題專家或同事,讓他們瞭解並通盤考量風險,或將訊息傳達業界。「在我擔任國土安全副部長助理與國家網路安全暨通訊整合中心主管時,有 Foutune 10強企業曾請我到董事會探討網路威脅與風險。我的演講支持CISO先前提供給董事會的資訊,讓他們對CISO的提議產生信心。尋求協助不是軟弱的表現,是有智慧的做為。」
必讀!瞭解你的資安情勢
俄羅斯軍事準則(Military Doctrine)並非CISO為瞭解防禦資訊應讀的唯一政治文件。「國家策略的優先順序通常是公開、擷取自戰略準則,並透過聲明與公開的非網路政策定期重申,」報告如此說明。「瞭解這些優先順序,或許就能預測國家資助戰役的目標與重點區域,通盤瞭解進行中與已完成的攻擊戰。」
中華人民共和國公布五年計畫(5YP),概述經濟發展目標與達成這些目標的動力。當中國在2015年釋出第十三個5YP時,也公布了他們的「Made in China 2025」政策,列出中國政府致力成為世界領導者的關鍵產業。Crowdstrike先前就將這些計劃描述為「不折不扣的中國侵擾組織購物清單」,因為他們指出了哪些產業是政府隸屬的APT組織可能下手的目標,以及想拿下中國政治與經濟目標的高價值智慧財產權(IP)類型。
除了政策文件可以做為長期國家級優先順序的訊號外,各國也有外交使團及國家擁有或金援的媒體,定期傳達政策與立場。這些都是有助於企業組織取得資訊的絕佳的來源。卡內基國際和平基金會(Carnegie Endowment for International Peace)與歐洲外交關係協會(European Council on Foreign Relations)這類智庫也會追蹤並摘要策略性外交政策目標。
CISO也要對影響風險狀態的短期政治事件有所警覺。例如2015年美國總統歐巴馬與中國總書記習近平,協議縮減中國向美國攻擊的範疇。隸屬伊朗的組織多半會在美國制裁期間或處於緊張情勢之際增加攻擊活動。同樣,北韓也在這樣的緊張情勢下增加加密貨幣採礦惡意軟體的使用,籌措資金。
「充份閱讀的CISO就是做好準備的CISO,」Touhill表示。「我建議CISO們將 Unrestricted Warfare 納入閱讀清單。這是寫於1999年的軍事策略書籍,由兩位人民解放軍上校所撰寫。讀起來類似中國網路戰的入門書,時至今日仍然適用。我最近正在讀的是 Ray Takeyh 所寫的《Guardians of the Revolution》,這本引人入勝的書探討的是伊朗社會與外交政策。另一本則是 Dilip Hiro 所寫的《The Iranian Labyrinth》。」
近期,第十四個中國5YP正在進行,可能於2020年出版。它將提供下一個五年,哪些產業將屬於中國網路威脅攻擊者風險的明顯指標。同時,下一個 Russian Military Doctrine 更新預期將於2020出版。之前的更新會在反覆出現在既有準則裡,意即特別針對2014年版本所建立的所有防禦依然有效(不過可能需要更新)。
博思艾倫諮詢公司預期即將看到試圖入侵整個西方國家能源、公用事業與運輸這類關鍵領域,與更多針對非NATO國家的攻擊,因為他們比較不可能參與任何廣泛聯合回應。尋求加入NATO或與同盟國密切合作的國家,也可能面臨更多攻擊。俄羅斯於北極宣告領域主權的野心,也在預言未來目標。
抵禦民族國家威脅
博思艾倫諮詢公司針對政府隸屬威脅者所做的網路防禦,提供企業組織如下建議:
- 評估與自身企業組織相關的對應敵手動機、方法與意圖,提升對攻擊層面的警覺性並瞭解自身應如何防禦。
- 找出最重要資產,確認它是否類似敵手先前針對其他企業組織鎖定的目標資產。
- 執行風險模組的建立與模擬,確認敵手在攻擊情境下可能針對現有防禦攻擊的能力與意圖。
- 監控並儘可能紀錄,以利增加能見度,在敵手攻擊行動惡化前找出可能威脅。
- 利用威脅情報與共享,確認、建立關聯與追蹤攻擊戰及威脅,以便瞭解自身資安情勢。共享情報可以增加敵手活動的社群警覺性,並提升威脅版圖能見度。
- 擁有威脅獵捕程式,確認企業組織可能遭利用的弱點範圍,積極主動提升防禦。
- 進行戰爭遊戲與練習,測試防禦與資安團隊的能力,協助建立教戰守則並確認弱點範圍。
「從找出企業組織已實施追蹤地緣政治趨勢的資源開始。」Stone建議。「許多大型企業早有追蹤這些動向的處理方式,從產生市場預測這樣的洞見,到實際的資安報告。把這些能量加進來。」
「GRU這類有能力的威脅者需要更專注與敏捷的處理方式。」Stone補充說道。「持續考量敵手動機、何以此舉可能曝露風險,繼而從容開發應變計劃,有其必要。穩定而持續的準備動作,從長遠來看能讓你更具復原力。」