NO.35 | 2018.04.16
banner
title有備而來 友善列印>>
NICT and TWISC聯合研討會心得_資通安全組 李兆文 工程師、曾志強 助理工程師



107年02月08日(四)國內學界的資通安全研究與教學中心,同北中南東共五大資安特色中心邀請國際著名資安中心NICT一同辦理第一屆NICT and TWISC聯合研討會(The 1st Joint Workshop of NICT and TWISC),雙方交流並提升資安研究能量。

該研討會中台灣分享三項主題: 1. AI and Security、2.IoT Security and Privacy 以及 3.Machine Learning Based Botnet Analysis and Testing。而日方主題單一,不分散,分享如何觀測與衡量日本資安風險的高低。
 
日本情報通信研究機構(NICT),在日本的地位相當於我國的工研院,只是NICT整個院都專注於資通訊技術,其中任職於網路安全實驗室約有50名員工。

會議中由NICT的Dr. Daisuke Inoue發表Keynote,分享NICT是如何充分的以中立法人地位,聯結外部單位,觀測與分析針對日本的網路攻擊,以支持國家進行網路空間之數字化管理工作,如此有助於解決網路攻擊的此一社會問題。

NICT將執行策略分為三個面向:
1.視覺化與互操作呈現,目的是為了主機行為探索與取得一致的認知,資安術語pivot point講的即是此意。
2.暗網流量監控,利用法人的中立地位,取得了30萬個未使用的IP進行大規模觀測。
3.大規模誘捕系統,與國內外單位進行合作部署,取得惡意程式。同時,這些誘捕系統還可細分為IoT誘捕系統、DoS放大攻擊誘捕系統及APT企業網路誘捕系統。

我認為這個Keynote對NCC所屬法人在我國資安的分工角色定位有所啟發,即透過收集網路惡意活動的觀測數據,來判定我國今日網路空間的資安風險高或低。我國網路基礎建設的主管機關為NCC,是最有高度與角色來收集、處理與分析這些觀測數據。我相信NICT收集的資料有兩類,一是攻擊者的能量,即透過誘捕系統與惡意程式分析所得知情資,可知外在風險高與低。二是防禦方所能動用的應變資源與目前的資安態勢。缺少這些數據,國家無法衡量過往的投入資源是否有效,也無法衡量未來尚缺多少資源與政策工具。

回到這次的議程內容中,有兩項主題讓我印象深刻,首先是AI應用的方面,在惡意程式行為分析上,需消耗較多的人力資源,因此資安專家們希望將部分檢核工作透過AI自動化完成。台大孫雅麗教授的惡意程式偵測研究,利用沙箱技術將程式每個階段的行為做依據,再找到惡意程式攻擊軌跡,利用這些軌跡的相似度,以此將惡意程式分群,透過分群的樣本資訊,能夠達成自動化的惡意程式之判斷。

第二項議題是由NICT所帶來的STARDUST,目的是要獲得真實企業環境下的APT攻擊樣本,在過去要獲得攻擊情資,需在入侵行為已發生時,透過事後鑑識才能獲得樣本資訊,但損失已經造成,且損失方不見得會公布情資,而誘捕系統的出現,使獲得情資的方式更有效率,一個好的誘捕系統有兩種特徵,一是能夠吸引攻擊者注意,二是能夠觀察攻擊行為,這是目前習知誘捕系統的功能,但是其缺點也十分明顯,即缺乏真實人為操作與流量,駭客十分容易分辨此乃誘捕系統,從容離開,不留下進階的攻擊方式,故誘捕系統只能誘捕到初階或自動化的攻擊。而STARDUST正是新一代擬真誘捕系統的一個實作。

STARDUST主要分成兩部分,第一部分Cluster Builder能夠模擬真實的網路架構,例如:企業網路,也產生其使用流量與資料,吸引攻擊者並且不懷疑這是一個誘捕系統。當模擬的網路收到惡意的行為,會將行為紀錄下,回傳到第二部分的Behavior Analysis進行分析,能夠清楚觀察到攻擊者完整的攻擊軌跡。

NICT研究員也分享了從STARDUST觀察到的事情,從訊息的輸入頻率與輸入資訊等,判定這是人工入侵或是自動化的入侵模式,例如命令在輸入錯誤後補上正確命令等習性,較像是人工的入侵方式。

在議程的最後也說明資安的發展將朝向IoT Privacy、Botnet Detection以及AI & Security等三項議題,這次議程拓展了我對資訊安全的視野,受益良多。