關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
顯示分類
2025.11.17
標準與框架/資安管理
基於戰術、技術和程序 (TTP) 的防禦如何優於傳統的入侵指標 (IoC) 搜尋

面對日益複雜且具備人工智慧(AI)輔助的現代勒索軟體攻擊,傳統上依賴入侵指標(IoC)(註)的資安防禦體系已顯得力不從心。本深度研究報告強調企業必須進行策略性轉型,將重點從追蹤易於變更的指標轉向偵測攻擊者的核心行為模式,即戰術、技術和流程(TTP)。透過採用與MITRE ATT&CK框架高度一致的行為導向防禦平台,結合雲端原生架構(如SASE)和關鍵操作控制措施,企業能夠實施更快速、更精準的威脅遏制,從而大幅降低勒索軟體對業務營運的衝擊。

註:

IoC(Indicators of Compromise)是「已經發生攻擊的具體證據」,而 TTP(Tactics, Techniques, and Procedures)則是「攻擊者的行為模式與方法論」。IoC 偏向事後偵測,TTP 偏向事前預防與理解。

IoC(Indicators of Compromise,攻擊指標):可觀察、可驗證的證據,顯示系統已遭入侵或正在遭受攻擊。
TTP(Tactics, Techniques, and Procedures,戰術、技術與程序):定義:描述攻擊者的 目標、方法與操作流程,即其「作戰手法」。


傳統資安的侷限性與策略轉型必要性

當今的網路威脅環境充滿挑戰。據統計,勒索軟體事件的平均成本高昂,且網路犯罪分子正積極利用AI來強化社會工程攻擊。此外,每年數以萬計的新漏洞被披露,使得單純依賴特徵碼或漏洞指標進行防禦的模式變得不切實際。許多企業長期仰賴端點偵測與回應(EDR)、防火牆、安全資訊與事件管理(SIEM)等分散式工具,形成「工具蔓延」(Tool-Sprawl)的困境。這種破碎的架構導致可視性不足、資安團隊被不協調的警報淹沒,並使得自動化防禦難以實施,最終導致威脅偵測太遲,遏制行動緩慢且無效。

 

攻擊者行為模式(TTP)的核心價值

為了對抗現代勒索軟體,企業必須轉變策略,從追蹤入侵指標 (IoC) 轉向偵測攻擊者的行為——即戰術、技術和流程 (TTP)。 MITRE ATT&CK 框架詳細概述了攻擊生命週期中從初始訪問到最終影響的整個過程中的這些行為。與易於篡改的表面要素 IoC 不同,攻擊者很難修改 TTP,因為它們代表了核心行為模式和策略方法。

這種轉變的核心價值可以用「痛苦金字塔」(Pyramid of Pain)來解釋:位於金字塔底層的IoC(如檔案雜湊值、IP位址)最容易被攻擊者修改,而位於頂層的TTP則代表了攻擊者的整體戰略,一旦被防禦方成功中斷,將迫使攻擊者從根本上改變他們的整個策略。行為偵測的精確度更高,能有效識別出如權限提升、憑證竊取、橫向移動等關鍵活動模式,往往能在加密或資料外洩之前就進行預防。

 

行為導向的現代化防禦策略及其關鍵要素

行為偵測與貫穿攻擊生命週期的快速、強有力的操作控制相結合,才能發揮最佳效果。強大的勒索軟體防禦需要將洞察轉化為即時遏制,而無需依賴終端代理或人工干預。

  1. 線上威脅防禦:雲端原生平台應使用入侵防禦、啟發式分析和反惡意軟體引擎檢查所有流量(南北向和東西向)。這些控制措施可在網路掃描、命令與控制流量以及大規模檔案加密嘗試等異常行為升級之前,偵測並阻止它們。
  2. 可疑文件活動監控:監控 SMB(文件共用協定)流量對於發現重大文件修改或潛在的加密行為至關重要。這些行為通常表示正在進行勒索軟體攻擊,需要迅速採取隔離或遏制措施。
  3. 微隔離:在應用程式、服務和使用者群組之間建立邏輯邊界,限制橫向移動。當勒索軟體試圖傳播時,隔離可以起到不同區域之間的屏障作用。這有助於減少損失,並確保業務持續運作。
  4. 零信任網路存取 ( ZTNA ):實施最小權限存取控制,確保使用者和裝置只能存取其明確授權的資源。這可以防止身分被盜用者利用未經授權的路徑。它還有助於遏制與身份相關的威脅。
  5. 基於雲端的策略執行:對遠端使用者、分公司和雲端工作負載進行集中執行,可保持安全措施的一致性,防止資料被竊和外洩。
  6. 託管式偵測與回應 (MDR):為了增強安全性,MDR 服務可提供專家驗證、主動威脅搜尋和指導性修復。這透過專家的人工判斷增強了自動化防禦,從而加快了恢復過程。

 

統一平台與雲端原生架構的優勢

要大規模實現行為優先的防禦,需要採用統一且融合的架構,將網路與安全控制措施整合於使用者、設備和雲端工作負載之間。雲端原生安全存取服務邊緣(SASE)平台提供這種融合,能夠對所有邊緣(遠端使用者、分支機構、雲端實例)的流量進行內嵌式(Inline)檢查,並產生可即時對應到ATT&CK行為的規範化、情境化遙測數據。當網路與安全功能原生整合時,策略執行將保持一致,微隔離變得實用可行,遏制行動無需串聯多個控制台即可在線執行。這種雲端模式還能利用AI/ML技術對彙總的高保真數據進行分析,從而降低雜訊、提高偵測質量。

 

結論與未來展望

勒索軟體攻擊將持續演變,但企業遭受的損失並非不可避免。透過從被動的、工具分散的防禦模式轉向統一的、以行為為導向的平台(平台需與 MITRE ATT&CK 框架保持一致),企業可以更快地發現攻擊者的行為,更迅速地應對威脅,並降低其對業務的影響。雲端原生SASE架構正是實現這一目標的關鍵推動者,它提供了內嵌式保護、集中化可視性和可擴展的執行能力,有效擺脫了傳統碎片化防禦體系的束縛。


資料來源:https://www.securityweek.com/how-ttp-based-defenses-outperform-traditional-ioc-hunting/
 
分析了面對現代勒索軟體與AI驅動的網路威脅時,企業資安策略必須從被動的入侵指標(IoC)追蹤,轉向主動且難以篡改的攻擊者戰術、技術和流程(TTP)偵測。