撰寫卡巴斯基XDR解決方案時曾說到,這個方案可讓資安監控人員見樹又見林,但是當你見完林後,怎麼知道哪顆樹生病需要移除,就像某個XDR警報是正確或誤判?尤其導入MDR的兩年半,只有3個事件事是由我這菜雞逮到,其他還是得牢牢抱緊普丁大腿,這場見樹不見林,見樹又見林的遊戲可能只有等到全世界停電才會結束。
既然人類和AI都會犯錯,買了MDR等額外服務也只能保證90%的機率在時間之內通知客戶,自己檢測又不一定能完全判斷是否正確,就要有一套嚴謹的思維持續精進檢測能力。
這張圖是由美國插畫家Charles Allan Gilbert畫的「All is Vanity」,這幅畫究竟是骷髏頭、還是照鏡子的女人?使用這張圖的用意是為了說明從不同角度看待相同的訊息有多麼困難。更重要的是,記錄檔中模稜兩可的資訊會干擾準確的判斷,即使收集了一個企業全部的記錄檔後也是如此。如果分析師習慣重複看到相同的警報,這種情況很可能會發生。這就是為什麼有時需要從新的視角看待同樣一個資安事件,過去的經驗可能成為分析的阻礙,也可能起到輔助作用,尋求第二意見是不錯的選擇。分析師應該盡可能清晰地闡述他的基本假設和推理過程,以便其他人、以及他自己對其進行質疑,檢驗假設的效度。這種真真假假的警報充斥著XDR,頂尖的分析師可以知道什麼警報是可疑,什麼是正常,何時停止收集資料,如何從這些資料做出回應,並作出正確的決定。對於新手來說(例如我這個菜雞工具人),早上打卡做到位子上登入XDR頭就暈了。從初階到頂尖,只有經過資深人員的帶領、反覆的思考,分析師才會對自己的分析有自我意識,並磨練他的思維過程。
分析師做出錯誤判斷不是個意外,考量這個工作存在的高度不確定性:
- 記錄檔收集不全
- 不在現有Mitre Att&ck框架中的戰術、技巧和程序(Tactics, Techniques, and Procedures, TTPs)
- 駭客發展出欺騙分析師的新手法
- 缺乏與客戶和相關團隊的溝通
人類的思維不喜歡不確定性,會把既定印象印用在分析日誌。有了上述不確定性,分析師根據收集的情報、又根據自己的信念做出的判斷,無意中就會產生偏見。雖然這些限制和偏見無法解決判斷錯誤的問題,知道自己有偏見就是好的開始。
為什麼我們看不到本該看到的?
如果一開始沒注意到上圖重複出現的文字,那是因為你沒想到這麼簡單的句子會發現錯誤。人們更容易注意到他們期望看到的東西。 YouTube上有很多關於意識測試和選擇性注意的影片都展示了類似的概念:
分析系統日誌時也存在一些預期模式(包括AI給出的預警),可以告訴分析師要尋找什麼、什麼重要以及如何解釋所看到的內。這樣的思考模式特徵之一是:思考模式往往形成迅速,但難以改變。接收到的訊息越是模糊不清,分析師對於自己的假設越越容易堅持自己的觀點。
資安監控中心(Security Operations Center, SOC)容易產生的偏見
既然我們的思維會被欺騙,分析師日常工作會受到哪些偏見影響?
- 確認偏誤 :傾向於關注那些能夠證實刻板印象的訊息。例如:告警是由網路掃描工具觸發,於是開始在受感染電腦上尋找IP Scanner等工具。
為了避免這種偏見,分析師在處理警報時應該嘗試推翻最初的假設。
- 錨定效應 :容易受到第一個見到的、且無害的記錄檔影響。例如,分析師可能會因為進程名稱有數位簽章的進程而忽略告警。
上面的範例檔案是微軟的系統修復程式,假如看到有關這個具有數位簽章的無害程式的記錄,把相關警報忽略,當繼續查看完整的關聯記錄(上下文),就會發現這是一個偽裝成系統進程的工具。
這個進程本身無害,防毒軟體不會隔離,但是該進程下了一串指令,並放到system32資料夾,這樣的行為就很可疑。這個例子說明分析師應根據完整的上下文進行判斷,最先發現的資訊並不重要,重要的是整個活動的時間線。
還有其他一些因素會導致誤判:
- 滿意解法:選擇第一個「夠好」的解法,而不是考量所有可能性,以獲得「最佳」解。這種情況通常發生在資安監控中心工作量過度繁重的情況。
- 懶:選擇最輕鬆的方式,分析師充滿幻想,以最少的努力獲得最大滿足。例如假設可疑行為是內部管理活動,舉一個例子,當一台主機啟用本機administrator帳號(net user administrator /active:yes),認為那是資訊單位為了方便管理開啟,不是駭客開啟。
- 類比推斷:過度依賴過往經驗。例如很久以前,公司進行紅隊演練時開啟一個系統管理員權限帳戶,就認為那個帳戶的活動是正常現象,當該帳戶突然活躍起來時認為又是為了演練而忽略它的活動軌跡。又例如某個規則總是產生誤報,因此分析師決定不進行充分調查就關閉警報(狼來了警報)。
解決方案:質疑假設
分析師要對自己的推理過程保持清醒,他們要思考自己是如何做出判斷和結論。處理警報時,應該提出假設,並嘗試證明這些假設是錯誤,不要倉促下結論,這樣才能獲得最佳結果。
因此分析師正確的工作途徑應如上圖所示
- 產生假設:使用警報數據和邏輯推斷。
- 收集相關數據:請留意,更多的數據不代表能分析出更好的結果。
- 檢定假設:調查和分析。
- 挑戰假設:檢視並盡量避免偏見和思考陷阱。在這個階段可以徵詢第二意見。
- 行動:做出判斷。
1到5的步驟並非線性,必需來回驗證
應對警報:5W1H
一套良好的告警系統可以幫助分析師採取所有必要的步驟,避免倉促下結論。這套思路與良好的告警系統可以用5W1H進行整合 。
事:發生什麼事?用一兩句話描述正在調查什麼相關事件?
地:事件發生在哪台端點?(桌機、筆電、伺服器、網通設備)
時:事件發生的時間?
人:誰做了什麼?(使用者、IP 位址、進程)
為何:為什麼會發生這個事件?觸發警報的根本因是什麼?
如何:如何觸發這個警報?(技術層面,TTPs)。
卡巴斯基的SOC後台(不是KATA方案,而是他們自己的後台)展示了5W1H的實作:事(黃色)、地(藍色)、時(黑色)、人(綠色)、為何(紫色)、如何(紅色)。如果能在判讀資料時回答這些問題,可以讓分析師更了解正在處理的問題。撰寫報告時也會有幫助。
另一個可以幫助思考的方法是由美國中央情報局提出的假設競爭分析法,這個方法藉由明確的證據檢驗各種不同的假設,以此做為決策分析的依據。
- Psychology of Intelligence Analysis
- Analysis of Competing Hypotheses (ACH part 1)
- Analysis of Competing Hypotheses, WCry and Lazarus (ACH part 2)
- 如何蒐集威脅情資,又該如何分析與運用?
上述案例僅是舉例,並不適用每一個警報。對於一眼就能判斷、或重複出現的案例,只需處理一次,然後進行調整或自動化。隨著時間的推移,分析師能逐漸理解自己對事件分析的過程,整個調查流程也會變得更加順暢。
給資安監控人員(SOC Team)的一些建議
- 將每一次警報視為已被駭客攻破。(持續驗證、永不信任)
- 誤報意味著確切知道發生了什麼事,且不存在任何威脅。(請留意對手可能利用正常程序混淆分析師)
- 質疑你的信念和結論。(偏見去除)
- 徵求第二意見。(不同人的不同看法)
- 從過去吸取教訓。(失敗為成功之母)
- 像攻擊者一樣思考。(攻擊是最好的防禦)
2026/3/6 OpenAI發表了Codex Security,目前可應用在軟體漏洞修補,如果未來可以幫助分析師分析大量警報會是一個好助手。
參考資料:Human factor in cyber defense: when the enemy is our own mindset
