【前辈现身讲：数联资安资安鉴识暨服务发展部资深技术顾问周哲贤】亲身份享第一线IR经验，靠4大实战法则找骇客入侵源头

“骇客一定会找防御最弱的地方进行攻击，所以我们做资安事件调查，一定会从最脆弱的地方优先查起。”曾经协助调查局侦办第一银行盗领案，现为数联资安资安鉴识暨服务发展部资深技术顾问周哲贤，以自己10年资安事件应变（Incident Response，IR）的经验，分享从事IR工作的方法与挑战。他更以这句话点出资安防护的重要性，因为骇客不会费力攻打防护面向完整的企业，一定会挑防御力弱的企业下手。

IR分三级应变，分层监控与管理资安事件

对于想要从事IR工作的资安新鲜人，周哲贤简单介绍IR的工作范畴。若以SOC监控服务来说，可以分为Tier1、Tier2、Tier3三个层级，Tier1的任务，负责7天24小时全天候监控，通常由年轻资安人员轮流值班，当发生资安攻击事件时，在第一线即时通报、判读、进行基本调查与处置；Tier2的任务，则是负责处理Tier1无法处置的案件，由较为资深的资安工程师执行进阶调查。

Tier3的层级就更高了，负责Tier2仍无法解决的事件，主要进行进阶事件分析、事故处理（Emergency Responder Services，ERS）、数位鉴识与恶意程式调查。周哲贤指出，除了厂商端提供SOC服务，企业也可能自建SOC监控团队，但因企业内的规模通常较小，Tier2与Tier3可能直接划分为同一个团队。

IR工作先从弱点查起，更可遵循4大经验法则

要从事IR分析的人，必须熟谙各种骇客攻击的手法，周哲贤以他过去从事IR的经验来归纳，骇客入侵企业的管道大致有5个途径，一是透过社交工程中的电子邮件钓鱼手法，骗取使用者帐密来骇入系统，二是从企业网站骇入，三是使用者错误行为所致，四是从供应链或厂区电脑来入侵，五则是从分公司、子公司或云端入侵，而调查骇客的入侵管道，就是资安事件调查的关键任务。

“我们做资安事件调查，在没有线索的情况下，一定会从最弱的地方开始查起，”周哲贤表示，就像知名Twitter账号SunTzuCyber提到：“骇客攻击的战术就像水，一定会找阻力最小的地方流去。”循着骇客从弱点开始攻击的角度思考，资安事件调查也得从企业防御的弱点找起。

周哲贤也从自己的经验中，归纳出4大资安事件应处的通用法则，“当法则用应用在不同的情境可能会变形，但是核心的概念不会变。”

其一，是时间点及轴（TimeLine Analysis），这是在资安事件发生后，先调查入侵过程的时间轴，比如在哪些时间点、发生什么情形，将事件串连成线，就能得到较完整的攻击过程，并快速判定哪些那些资讯可以用于后续分析。“因为客户要的不是单点事件，而是一个完整的故事。”周哲贤表示。

其二，是透过关键字（Signature）来搜寻。周哲贤指出，关键字的使用目的，是要让IR人员在进行资安事件应变时，能利用关键字快速搜寻与过滤，在几十万个Log中找出可疑的记录，再进行Log的前后比对或分析。因此，关键字的定义很广，包括设备的规则与各种系统的纪录档，或是各种攻击手法的英文单字等，且IR人员需靠经验积累，记下常出现的关键字，才能更快找出资安攻击的源头。

其三，则是透过统计及频率分析，来检视企业IT各项纪录或数值的频率，找出不寻常的资安攻击行为。周哲贤解释，这个做法的核心概念，是透过统计分析的方法，找出各系统运作的平均值，以此代表正常状态，并透过同样的方法，统计资安事件发生时各系统的数值，若超过平均值就能判定为异常，来找出被入侵的系统源头。

最后，则是要看资安攻击的方向性，是由外而内（inbound）或是由内而外（outbound），因为方向性决定了后续分析的方向。比如若攻击是由外向内，代表有人在攻击用户的网站，但如果攻击是由内而外，那就可以假设，用户IT系统可能被骇客植入后门程式，所以产生了内而外的连线，“方向性可以确立调查方向。”周哲贤说。

周哲贤更幽默的比喻，这四大经验法则就好比通灵法则，因为企业在遇到资安事件时，提供的线索可能非常少，比如只感受到电脑执行速度变慢等情况，但执行事件调查任务，就是得从蛛丝马迹找出骇客攻击的路径，才能更进一步协助企业防范。

亲身经验分享IR工作的挑战与面临情境

除了技术面的经验分享，周哲贤也从工作现场实务，来点出台湾资安事件应变工作的挑战。IR工作常是-单位委托案的其中一项，他指出，-订定的SOC监控共同供应契约，对于资安服务的采购也有一套规范，若遭遇不同流量的资安攻击事件，机关可向厂商提出不同次数的事件处理服务要求，比如若遭遇低流量的资安攻击事件，可以向厂商提出3次IR服务。

然而，这里以“次数”来提出IR要求，他认为，其实不够精准，因为契约没有针对“一次”IR处理服务，定义相应的范围与目标数，这就导致，厂商可能得大范围盘查数十台电脑，但都只计算到“一次”IR服务中。周哲贤指出，一般业界对IR的计价方式，是以电脑台数来计算，这类定义不精确的契约，可能让厂商承揽超过原先收费的工作量。

所以，“在台湾从事蓝队IR，非常心酸，客户会对你高度期望，但是，台湾资安工程师的薪水却很廉价，这是IR工作的现实。”周哲贤感慨地说。

另一个挑战则来自分析资料取得不易的考验。骇客发动攻击后，可能会采取灭证的行为，让IR工作者无法找出完整的入侵源头，这些方法包括植入勒索软件、毁掉开机的磁区、清除Log档等。而且，不只是骇客，周哲贤指出，受害主机的管理员，也可能担心自己被咎责，或为了让IT快速恢复运作，就把Log档删除、重灌系统，造成事件应变处理上的挑战。

甚至，“有些管理员，为了继续维持营运，遭骇后就重灌系统，但是，这样会找不到事件发生的根本原因，系统漏洞也就无法修补，下一次还是可能发生同样的资安事件。”周哲贤呼吁，IR不是万能，没有留存证据，就无法找出骇客入侵源头，企业也得有正确的资安观念来协助IR工作。

除了IR产业面临的挑战，周哲贤也举出自己IR工作的实际情形。比如在客户受到攻击后，由于攻击事件牵涉到企业IT、IT设备商、资安厂商等多方角色，容易发生责任归属不明确，有没有人愿意承担责任的问题。因此，IR工作中，除了在技术上追查骇客入侵源头，有时也得担任劝架的角色，在不同立场的涉事角色之进行周旋。

另一个情境则是，有些客户求好心切会不断插手IR工作内容，反而影响了IR调查的进行。又或是企业在遭遇资安事件后，让IR厂商用类似竞争的方式，将案子交给最快着手调查的厂商，而非选择最合适的厂商来提供服务。这些都是在台湾从事IR工作需要适应的情况。

IR工作还有一些辛苦之处，周哲贤指出，一是得承担一定的心理压力，其二是得克服时差问题，因为骇客不会只在白天发动攻击，有时半夜一通电话，就得快速赶往因应，“所以在台湾做IR，要有很健康的身心理状态。”

针对该如何增强自身的IR能力？周哲贤建议，参加研讨会与阅读分析报告是关键，同时，他也提供了一份Github上的学习资源 APT_CyberCriminal_Campagin_Collections，让资安人才都能利用资源学习，来不断精进自己。