www.fisc.com.tw ■　7

從威脅情資分享談網路安全防禦的新趨勢〡本期企劃

從威脅情資分享談網路安全防禦的新趨勢

蘇偉慶 / 財金資訊股份有限公司安控部經理林承忠 / 財金資訊股份有限公司安控部資安服務組副組長

一、 前言

近年來，駭客經常利用各種社交工程手

法，誘導使用者開啟惡意郵件或瀏覽偽冒網

站，再利用其中潛藏的惡意程式，入侵企業內

部系統，伺機從事不法活動。上述攻擊方式可

針對特定領域或機構，規劃一系列有組織、有

計畫的持續性攻擊活動，其威脅程度已非昔日

亂槍打鳥的病毒或蠕蟲攻擊所可比擬。

隨著網路服務蓬勃發展，各種資安威脅

日趨複雜且蔓延迅速，面對有組織的計畫型

攻擊活動，傳統單打獨鬥的防禦模式已無法足

以因應。確保及時掌握最新威脅情資 (Threat

Intelligence)及因應對策，實乃有效強化資安

防禦的關鍵因素。為建立資安聯防機制，有

效分享威脅情資，各國相繼成立國家層級或

特定產業領域的「資安資訊分享與分析中心」

(Information Sharing and Analysis Center，

簡稱 ISAC)，以期群策群力，共同維護整體環

境之安全。透過 ISAC平台有效接收及分享情

資，更能落實以威脅情資驅動的網路安全防禦

概念。

二、 情資驅動的網路安全防禦概念

近 來 備 受 矚 目 的 進 階 式 持 續 威 脅

(Advanced Persistent Threat，簡稱 APT)攻

擊是一種兼具針對性及持續性的網路安全威

脅，無法以傳統面對病毒或蠕蟲的防禦方式來

應付。圖 1是以攻擊者的角度所提出的「網際

攻擊狙殺鏈」(Cyber Kill Chain)模型，描述

APT攻擊的 7個階段。防禦者亦可參考此一

模型，掌握攻擊的進程，以採取必要的防禦行

動。

圖 1　網際攻擊狙殺鏈 (Cyber Kill Chain)

偵查 武裝 遞送 攻擊 安裝發令控制

行動

8　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡從威脅情資分享談網路安全防禦的新趨勢

(一 ) 「網際攻擊狙殺鏈」7階段

1. 偵查 (Reconnaissance)：研究、識別及

選擇目標，可以在網際網路上搜尋相關資

訊，或是利用工具掃描或探測目標環境。

2. 武裝 (Weaponization)：針對特定的安全

漏洞，設計遠端存取木馬程式，包裹在可

遞送的資料中，多數以自動化工具產生，

且利用最常見的資料檔案進行偽裝，例如

PDF檔或 DOC檔。

3. 遞送 (Delivery)：設法將武器傳送到目標

環境，如電子郵件附件、網站及可移動的

USB媒體皆是 APT攻擊者經常使用的遞

送管道。

4. 攻擊 (Exploitation)：武器遞送到目標主機

後，將觸發內部的程式碼，以應用程式或

作業系統的安全弱點為目標，開始進行攻

擊。

5. 安裝 (Installation)：於受駭主機安裝遠端

存取的木馬或後門程式，而攻擊者可繼續

隱藏於受駭環境中。

6. 發令與控制 (Command and Control，簡稱

C2)：APT攻擊經常需要手動控制，受駭主

機須向外連結網際網路上的控制伺服器，

以建立C2通道；攻擊者便可利用此通道操

控受駭主機，彷彿親臨現場操作鍵盤。

7. 採取行動 (Actions on Objectives)：經過

前面 6個階段的鋪陳，攻擊者才真正開始

採取行動，如竊取資料、破壞資料的完整

性與可用性、或是做為入侵其他系統的跳

板。

(二 ) 防禦者的應用

以情資驅動的網路安全防禦是一種從攻擊

者角度思考的防禦策略，經由分析攻擊者的行

為 (包含攻擊的能力、使用的技術、利用的弱

點、攻擊的目標及限制等 )，來研擬最佳的防禦

機制，也就是分析攻擊以驅動防禦的行動方案。

就攻擊者而言，須完成 7個階段才可真正

達成攻擊目標；就防禦者而言，只要能在其中

任一階段妥善處理，就可化解攻擊行動。如何

早期偵測並排除攻擊行為，則是防禦者須努力

的方向。

(三 ) 攻擊的分析與分享

防禦者在狙殺鏈的某個階段偵測到攻擊行

為，能適當處理排除，就是一次成功的防禦。

然而，如圖 2所示，這也意味著攻擊者已經完

成前幾個階段的任務，防禦者應該分析攻擊者

如何避開現有防護機制，再適度調整或改進，

以期提早阻擋防禦。對於攻擊者未能持續進行

的後續階段，防禦者亦應蒐集相關資訊，綜

合歸納可能的攻擊手法，以防範攻擊者改變方

式，避開現行防護機制，進行下一波攻擊。

圖 2　狙殺鏈的防禦對策

偵查 武裝 遞送 攻擊 安裝發令控制

行動

分析 偵測 綜合歸納

www.fisc.com.tw ■　9

從威脅情資分享談網路安全防禦的新趨勢〡本期企劃

利用適時分享偵測、分析與綜合歸納的結

果，採取適當的防禦措施與行動方案，可有效

發揮資安聯防綜效，迫使攻擊者無法以相同的

手法重複攻擊不同目標，且其攻擊成本勢必大

幅提高，可有效降低攻擊誘因。

三、 情資類型與交換協定

(一 ) 情資類型

依據美國系統網路安全研究機構 SANS

Institute，將網路威脅情資分為外部、內部及

社群三類，逐一說明如下：

1. 外部威脅情資：分為免費及付費兩類，免

費情資係指公開發布的惡意網站 IP、釣

魚郵件網域、惡意程式檔案等；付費情資

則是由專業廠商提供的資訊，如 SOC監

控威脅報告、地下駭客市場資訊等。

2. 內部威脅情資：企業分析內部相關偵測資

訊與系統日誌，以研判及預測潛在的惡意

行為。

3. 社群威脅情資：經由社群之間的分析與分

享，可即時得知相關產業特有的惡意程式

及攻擊行為。產業之間交換威脅情資，分

享所檢測到惡意程式樣本，可於最短時間

內有效防堵攻擊，避免資安事件持續擴大。

依據我國國家資安資訊分享與分析中心

(N-ISAC)定義，情資分為：資安訊息情資

(ANA)、資安預警情資 (EWA)、網頁攻擊情資

(DEF)、入侵攻擊情資 (INT)及回饋情資 (FBI)

等類型，彙整如表 1所列。

表 1　N-ISAC情資類型

情資類型 內容說明

資安訊息情資

(ANA)

◆ 重大威脅指標情資◆ 資安威脅漏洞與攻擊手法情資◆ 重大資安事件分析報告◆ 資安相關技術或議題的經驗分享

資安預警情資

(EWA)

◆ 疑似存在系統弱點或可疑程式◆ 疑似進行惡意或攻擊行為◆ 進行可疑連線行為或活動

網頁攻擊情資

(DEF)

◆ 特定網頁遭受攻擊且證據明確◆ 特定網頁內容不當且證據明確◆ 特定網頁發生個資外洩且證據明確

入侵攻擊情資

(INT)◆ 特定系統遭受入侵且證據明確◆ 特定系統遭受網路攻擊活動且證據明確

回饋情資

(FBI)

◆ 情資使用或處理情形回饋◆ 分享資安事件統計資料◆ 情資勘誤資訊回饋

10　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡從威脅情資分享談網路安全防禦的新趨勢

(二 ) 情資交換協定

網路威脅情資可分為「結構化資訊」(如

IP、URL、File Hash等 )與「非結構化資訊」

(如資安新聞、事件通報、地下情資等 )，資

訊流量龐大且情境複雜，須議定一致的情資交

換格式與系統架構，俾建立一套結構化且標準

化的「情資交換協定」，以利組織間的情資交

換與分享。

目前多數情資交換平台係採用 Structured

Threat Information eXpression (STIX) 格 式

說明情資的特徵，並採用 Cyber Observable

eXpression (CybOX)語法說明情資的內容，

同 時 利 用 Trusted Automated eXchange of

Indicator Information (TAXII)傳輸架構進行情

資分享。

STIX 及 TAXII 目 前 由「 結 構 化 資

訊 標 準 推 動 組 織 」(Organization for the

Advancement of Structured Information

Standards，簡稱 OASIS)負責標準制定與推

廣事宜，最新版本為 2.0。不過 N-ISAC目前

仍採用 1.X版，以下說明亦以 1.X版為主。

1. STIX

STIX是業界共同合作開發的標準結構化語

言，用以規範、獲取、描述和傳達標準化的網

表 2　STIX模組

模組名稱 模組說明

資安威脅觀察資料

Observables敘述觀察到的資安威脅事件資料，包含資料來源、資料名稱、內容敘述、資

料真實性及相關威脅事件等。

資安威脅模式

Indicator敘述觀察到的資安威脅活動模式，包含模式名稱、模式描述、有效時間、攻

擊手法、觀察資料及網際攻擊狙殺鏈階段等。

資安威脅事件

Incident敘述資安威脅事件，包含事件名稱、事件描述、事件類型、受害者、影響範

圍與影響資產等。

資安威脅手法

Tactics, Techniques, and Procedures, TTP

敘述資安威脅策略、技術與手法，包含資安漏洞、攻擊模式、惡意程式、使

用工具、受害者及網際攻擊狙殺鏈階段等。

資安威脅活動

Campaign敘述資安威脅活動資訊，包含駭客群、攻擊手法、威脅模式與相關事件，並

可推衍關聯至其他相關威脅活動。

資安威脅者

Threat Actors敘述資安威脅者的特徵與相關資訊，包含基本描述、資安威脅活動、威脅手

法、情資來源及動機等。

資安威脅目標

Exploit Target敘述被惡意利用的資安漏洞、弱點及設定檔，包含目標名稱、目標描述、資

安漏洞、資安弱點、因應措施、處理狀況及相關資安威脅手法等。

資安威脅防護措施

Course of Action敘述因應資安威脅的應變與預防措施，包含防護措施名稱、描述、效用、使

用成本、應用範圍及相關措施等。

資安威脅報告

Reports綜整各模組資訊成為資安威脅報告，亦可利用文字格式彈性封裝難以套用至

其他模組的資安資訊。

www.fisc.com.tw ■　11

從威脅情資分享談網路安全防禦的新趨勢〡本期企劃

圖 3　STIX情資格式架構(資料來源：行政院國家資通安全會報技術服務中心 )

路威脅資訊，可封裝情資，具高度的可讀性及

延伸性，方便人與機器解讀或編寫擴展。目前

美國國土安全部旗下的資通安全辦公室及美國

電腦緊急應變小組 (US-CERT)等單位皆以此格

式進行情資分享，並積極推廣相關技術。

STIX 1.X 版 採 用 eXtensible Markup

Language (XML) 編碼格式，而 2.0 版則以

JavaScript Object Notation (JSON)為必要的

編碼格式。STIX架構分為 9大模組 (如表 2)，

模組本身或相互之間具有關聯性，其架構範例

如圖 3所示，詳情請參閱 STIX Project網站

(stixproject.github.io)。

2. TAXII

TAXII是一套可供組織與其合作夥伴傳

遞與共享網路威脅情資的交換傳輸機制，

包 含「 接 收 服 務 」(Inbox Service)、「 收

取 服 務 」(Poll Service)、「 探 索 服 務 」

(Discovery Service)及「訂閱管理」(Collection

Management Service)等功能，支援「軸輻

型」、「訂閱型」及「點對點」3種情資分享

模型。依 N-ISAC規劃，我國各領域 ISAC將

採用「軸輻型」情資分享模型 (如圖 4)，以利

情資管理與交流。

12　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡從威脅情資分享談網路安全防禦的新趨勢

圖 4　N-ISAC情資分享模型架構(資料來源：行政院國家資通安全會報技術服務中心 )

領域ISAC

領域ISAC

領域ISAC

N-ISAC

提供情資(PUSH)

提供情資(PUSH)

取得情資(PULL)

TAXII的功能模組包含「網路連接」、

「訊息處理」及「後端管理」等單元，相關

說明請參閱表 3，或參考 TAXII Project網站

(taxiiproject.github.io)。

3. CybOX

CybOX是一種高精確度的結構化語言，

可用以編碼描述和傳達電腦系統及網路上所觀

測到的事件內容、行為或狀態特性，STIX 2.0

已將其整合於標準規格中。CybOX支援下列

網路安全領域 (詳情請參閱 CybOX Project網

站：cyboxproject.github.io)：

(1) 威脅評估與描述 (Threat assessment and

characterization)。

(2) 惡意軟體描述 (Malware characterization)。

(3) 操作事件管理 (Operational event manag

ement)。

(4) 安全資訊與事件管理 /軌跡紀錄 (Security

information and event management/

Logging)。

(5) 網路情境感知 (Cyber situational awareness)。

(6) 事件應變 (Incident response)。

(7) 指標共享 (Indicator sharing)。

(8) 數位鑑識 (Digital forensics)。

(三 ) 情資共享的保密原則

針對威脅情資分享範圍的限制，多數 ISAC

組織參考「國際資安事件應變安全組織」(Forum

of Incident Response and Security Team，

表 3　TAXII功能單元

功能單元 功能說明

網路連接單元

TAXII Transfer Agent (TTA)

◆ 負責傳送 /接收 TAXII訊息◆ 透過網路與其他 TTA通訊，處理協定需求的細節◆ 不處理 TAXII訊息內容 (由 TMH處理 )

訊息處理單元

TAXII Message Handler(TMH)

◆ 負責產生 /解讀 TAXII訊息，解析 TTA收到的 TAXII訊息，或建構可傳送的 TAXII訊息。

◆ 與 TAXII 後端單元連接，將來自後端單元的訊息轉換為 TAXII訊息，或依 TTA接收的 TAXII訊息執行動作。

後端單元

TAXII Back-end◆ 負責資料儲存、訂閱管理、存取控制決定、內容過濾及其他活動。

www.fisc.com.tw ■　13

從威脅情資分享談網路安全防禦的新趨勢〡本期企劃

FIRST)制定的Traffic Light Protocol (TLP)協定。

TLP依據情資的類型、提供者的要求及可分享

的對象，將情資分享區分為：紅燈 (Red)、黃燈

(Amber)、綠燈 (Green)及白燈 (White) 4個層

表 4　TLP燈號類別說明

類別 條件 分享範圍

紅燈

(Red)資訊無法被他方有效處理，且遭誤用可能影

響某方的隱私、聲譽或營運。

僅限提供者指定的特定群組，以面對面、或

口頭方式交換。

黃燈

(Amber)資訊需有效處理，惟分享至外部組織對於某

方的隱私、聲譽或營運可能有風險。

接收者只可分享需瞭解的組織成員及廠商，

以進行必要的處理；但提供者仍可自由指定

特定的資訊分享限制。

綠燈

(Green)資訊對組織成員及相關群組有用。

接收者可與組織成員或夥伴 (如廠商或客戶 )分享，但不得公開散布。

白燈

(White)資訊遭誤用的風險極小或無可預見。 在標準版權規則下，可以無限制散布。

次，以協助相關組織及成員清楚瞭解何時及如

何共享情資，以建立有效溝通與互相信賴的運

作模式；TLP燈號類別說明彙整如表 4所示 (詳

情請參考 FIRST網站：www.first.org)。

四、 善用 ISAC打造資安聯防體系

依據 John Haller發表的「Best Practices

for Nat ional Cyber Secur i ty : Bui ld ing

a National Computer Security Incident

Management Capability」報告，威脅情資分

享，歸納有三大挑戰：

(一 ) 情資過多

情資若未依相關需求事先過濾篩選，可能

造成「情資風暴」，須耗費大量人力與時間處

理及回應。過多的情資無法有效利用，反而成

為妨礙資安防護的雜訊 (Noise)。

(二 ) 信任不足

參與情資分享的成員如果無法互相信任，

將會降低分享意願，不願意分享有價值的威脅

資訊。

(三 ) 隱私保護

源自資安事件通報的情資，須有完善的隱

私保護機制，以避免機敏資訊外洩。

為有效分享威脅情資，各國 ISAC組織皆

設置「威脅情資分享平台」，以自動且即時的

系統化方式，進行內外部情資交換。「威脅情

資分享平台」包含服務、合作、交流三大環節，

以合作為基本精神，經由會員制度，建立一套

互信、暢通、高效的合作模式；「威脅情資分

享平台」應具備下列功能：

14　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡從威脅情資分享談網路安全防禦的新趨勢

(一 ) 情資比對

彙整威脅情資及漏洞資訊，依會員提供的

資產清單，如網域名稱、Public IP、網頁伺服

器版本、網路與資安設備型號等分類過濾，提

供相關情資，減少不必要的雜訊，以避免發生

「情資風暴」。

(二 ) 情資分享

依據業界共通的情資交換格式，將威脅情

資轉換為 STIX格式，並透過 TAXII交換傳輸

機制，推送予相關會員及其他組織。

(三 ) 情資關注

提供威脅情資管理功能，會員可設定關注

的議題，並與其他會員共同討論；關注的議題

如有新資訊，除自動通知會員，並於威脅儀表

板顯示，以利掌握最新狀態。

(四 ) 資料保護

不論是 ISAC發布的情資或會員分享的文

件，均依據 TLP燈號管理原則，管制讀取、

下載、分享等權限。

(五 ) 數據分析

蒐集會員於平台查詢的資料 (如可疑 IP、

檔案等 )及關注的議題，經 ISAC彙整分析，

產出威脅趨勢或攻擊指標等資訊，提供會員做

為評估強化資安防護機制的參考。

「威脅情資分享平台」可視為情資蒐集、

過濾、初步分析、訊息發布的功能中心，以安

全的方式傳輸及儲存相關資訊，更可整合各會

員的安全資訊與事件管理 (Security information

and event management, SIEM) 平 台、 入 侵

偵測防禦系統 (Intrusion Prevention System,

IPS)及防火牆等設備，形成完整的資通訊安全

威脅情資分享模型 (如圖 5)。

圖 5　「威脅情資分享平台」示意圖(資料來源：ENISA)

www.fisc.com.tw ■　15

從威脅情資分享談網路安全防禦的新趨勢〡本期企劃

ISAC分享資安威脅情資或資安事件案例

予會員，可達到預警作用；而藉由分享後的回

饋，會員亦可獲得處理資安事件所需資訊。此

外，ISAC亦可透過舉辦研討會、技術訓練課

程及國際交流等活動，提升會員的資安人員專

業能力，增進與資安服務廠商的互動。

五、 結語

網路安全防禦實務，高度仰賴人員的專業

技能與反應速度，面對排山倒海的資安威脅，

組織或人員經常窮於應付；針對層出不窮的網

路威脅，不論事前的預防、事中的偵測排除、

乃至事後的回應處理，情資都是重要的參考

資訊。如能應用機器學習 (Machine Learning)

或人工智慧 (Artificial Intelligence)等自動化技

術，將可大幅縮短偵測及回應時間，而自動化

技術是否能有效發揮，則須仰賴豐富且即時的

威脅情資資料庫；因此，充分且即時的威脅情

資資訊分享，當是資安聯防機制成功與否的關

鍵因素之一。

金融領域一向是駭客覬覦的攻擊目標，

隨著金融服務邁向網路化與行動化，資安威

脅有增無減，如能結合相同領域的組織或機構

參加共同的平台，互相分享威脅情資，是最有

效率的交換模式。爰此，金融監督管理委員會

於 2017年 12月設立我國金融領域的 ISAC，

並委由財金公司營運，期許 F-ISAC成為國內

金融機構共同信賴的資安情資資訊分享平台，

藉由彙整分析國內外資安情資，分享重要威脅

資訊與防禦方案，俾協助金融機構及時因應處

理，打造互助共贏的資安聯防機制，共同維護

金融交易環境安全。

※參考文獻 /資料來源：1. Eric M. Hutchins, Michael J. Cloppert,

and Rohan M. Amin. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. Academic Conferences International, Academic Publishing International Unlimited, 2011。

2. Matt Bromiley, SANS Institute Threat Intelligence: What It Is, and How to Use It Effectively, 2016。

3. 行政院國家資通安全會報，國家資通安全防護整合服務計畫領域 ISAC實務建置指引，106年。

4. Louis Marinos, ENISA Threat Landscape 2013 Overview of current and emerging cyber-threats, 2013。

5. John Haller, Samuel A. Merrell, Matthew J. Butkovic, Bradford J. Willke, Best Practices for National Cyber Security: Building a National Computer Security Incident Management Capability, 2011。

6. ENISA, Exploring the opportunities and limitations of current Threat Intelligence Platforms, 2018。