• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:1017

1.趨勢科技資深協理張裕敏在2018臺灣資安大會上表示，駭客攻擊活動分成5個階段，動機、發想、開發、測試及散播，現在全世界發生層出不窮的資安事件，不是駭客正在攻擊的、或者已攻擊完成的，不然就是正在散播階段。想要在這場資安攻防戰中，取得制勝先機，就得在發想階段、開發，甚至駭客動機階段，就得知道駭客準備做什麼，或對哪些目標感興趣，才能做到更早的預警。

趨勢科技全球核心技術部資深協理張裕敏在3月14日的2018臺灣資安大會提到，駭客攻擊活動分成5個階段，動機、發想、開發、測試及散播，想要在這場資安攻防戰中，取得制勝先機，就得在發想階段、開發，甚至駭客動機階段，就得知道駭客準備做什麼，或對哪些目標感興趣，才能做到更早的預警。
而駭客常去的地方、駭客聚集的地方、駭客發想的地方，全部是網際網路。所以有越來越多企業開始關注網路威脅情報（Cyber Threat Intelligence）的應用，開始重視在各種相關情報的收集，就是為了徹底了解敵人，才能夠搶得致勝先機。
張裕敏也觀察到，駭客為了不希望被逮後留有證據，所以許多駭客習慣將開發中的攻擊程式放在網路上，包括論壇，Github、ghostbin、 Pastebin等，這些程式儲存的平臺，被駭客利用來當作開發階段中轉的程式儲存站，從這些網站或平臺，就可知道駭客最近在寫哪些攻擊程式，或是發展的最新攻擊手法。
想要蒐集這些駭客活動情資，張裕敏指出，可以從兩方面下手，一個是網路 ，另一個則是企業本身。以網路情資來說，目前網路上有許多免費情資OSINT(Open-source intelligence)可以提供。另外企業每天都會遭受各種網路攻擊，這些資安設備留存Log資料，都是很重要的情資，從這些Log記錄分析中，可以幫助企業知道哪些攻擊正在發生，甚至可以繪出攻擊時間趨勢圖，了解受駭情況，或發生頻率等。
不過張裕敏也另外表示，除了以往的黑、白名單偵測手法之外，企業更應該重視那些介於黑、白之間屬於不確定的灰色資料，「真正黑名單數量並沒有那麼多，大部分都是灰的」，因為這些灰色資料，很多可能都是隱藏駭客攻擊的前兆。
張裕敏也建議，在進行資安偵測時，可以搭配一些資產清單、或結合場景、流程等，來提供做為輔助判斷的依據，以避免出現漏網之魚，另外也能搭配大數據分析技術、及機器學習等，進行巨量資料分析，都可以找出可疑的蛛絲馬跡。

參考連結：

https://news.tvbs.com.tw/life/886560
https://www.ithome.com.tw/news/121792
https://cnews.com.tw/003180315a01/