威脅情報應用在阻擋惡意威脅執行之研究

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：104

、訪客IP：3.144.82.128

姓名

邱上峯(Shang-Feng Chiu) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

威脅情報應用在阻擋惡意威脅執行之研究
(Research on Threat Intelligence in Blocking Malicious Threat Executions)

相關論文

★ 技術商品銷售之技術人員關鍵職能探討	★ 資訊委外之承包商能力、信任及溝通與委外成效關係之個案研究
★ 兵工技術軍官職能需求分析-以某軍事工廠為例	★ 不同楷模學習模式對VB程式語言學習之影響
★ 影響採購「網路資料中心產品」因素之探討	★ 資訊人員績效評估之研究—以陸軍某資訊單位為例
★ 高職資料處理科學生網路成癮相關因素及其影響之探討	★ 資訊服務委外對資訊部門及人員之衝擊-某大型外商公司之個案研究
★ 二次導入ERP系統之研究-以某個案公司為例	★ 資料倉儲於證券產業應用之個案研究
★ 影響消費者採用創新數位產品之因素---以整合式手機為例	★ 企業合併下資訊系統整合過程之個案研究
★ 資料倉儲系統建置之個案研究	★ 電子表單系統導入之探討 - 以 A 公司為例
★ 企業資訊安全機制導入與評估–以H公司為例	★ 從人力網站探討國內資訊人力現況–以104銀行資料為例

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 (2029-7-1以後開放)

摘要(中)

威脅情報已成為現代資訊安全防禦的不可或缺一環，組織和企業普遍依賴各種威脅情報來指導他們在資訊安全設備上進行事件調查。為了有效地追蹤事件並增強資訊安全防護能力，組織和企業通常在內部建置資訊安全維運中心(SOC)並在安全資訊與事件管理系統(SIEM)中應用威脅情報，以檢查組織內是否發生潛在的威脅事件，進而分析這些事件以提出改進的建議。然而，這種情資比對方式僅限於事件發生後，用於追蹤惡意活動的資訊設備日誌記錄痕跡，並不能直接阻止這些惡意行為和資安事件的發生。
本研究採用個案訪談法作為主要研究方法，通過深入訪談組織內的資訊安全部門人員，了解他們對於現有資訊安全措施的看法、遇到的挑戰以及對未來資訊安全策略的期望。此外，本研究還分析威脅情報的有效性，特別是評估入侵威脅指標(IOC)的有效性及時效性，作為判斷資訊安全措施效果的依據。
透過個案訪談法，本研究不僅能夠從實際操作者的角度理解資訊安全工作的現狀和需求，也能夠揭示影響資訊安全效果的關鍵因素。這些訪談結果將作為本研究的重要依據，幫助確定組織內資訊安全部門的關切點和困擾，並提供可參考的有效依據。
綜合以上研究成果，本研究將適當的IOC在網路閘道資安設備上設置為阻擋規則，以直接防止威脅進入組織的網路內，進一步提升資訊安全防護能力。本研究的結果旨在提供一套針對性的資訊安全策略，幫助組織和企業更有效地利用威脅情報，從而加強其資訊安全防禦能力。

摘要(英)

Threat intelligence has become an indispensable part of modern cybersecurity defense, with organizations and companies widely relying on various types of threat intelligence to guide their investigations into security incidents on information security equipment. To effectively track events and enhance cybersecurity protection capabilities, organizations and companies typically establish internal Security Operations Centers (SOCs) and apply threat intelligence in Security Information and Event Management Systems (SIEM) to check for potential threats within the organization. This allows them to analyze these events and make recommendations for improvement. However, this approach to correlating intelligence is limited to post-event scenarios, tracking malicious activities through information equipment logs, and cannot directly prevent these malicious acts and cybersecurity incidents from occurring.
This study adopts the case interview method as its primary research methodology. Through in-depth interviews with personnel within the organization′s information security departments, we gain insights into their views on existing cybersecurity measures, challenges faced, and expectations for future cybersecurity strategies. Additionally, the study analyzes the effectiveness of threat intelligence, particularly evaluating the validity and timeliness of Indicators of Compromise (IOCs) as criteria for assessing the effectiveness of cybersecurity measures.
Through the case interview method, this study not only understands the status quo and needs of cybersecurity work from the perspective of actual operators but also reveals key factors affecting cybersecurity effectiveness. These interview results serve as important references for the study, helping to identify concerns and difficulties within the organization′s information security department and providing actionable recommendations.

關鍵字(中)

★ 威脅情報
★ 入侵威脅指標
★ 資訊安全維運中心
★ 安全資訊與事件管理系統

關鍵字(英)

★ Threat intelligence
★ indicators of compromise
★ Security Operations Center
★ Security Information and Event Management system

論文目次

目錄
中文摘要 I
ABSTRACT II
誌謝 III
目錄 IV
圖目錄 VI
表目錄 VII
第1章緒論 1
1.1 研究背景 1
1.2 研究動機 5
1.3 研究目的和貢獻 6
1.4 論文架構 7
第2章文獻探討 9
2.1 國內外資安法規要求 9
2.1.1 國際資安相關法規及標準 9
2.1.2 台灣資安政策法規及執行單位 13
2.2 資訊安全維運機制 15
2.2.1 資訊安全維運中心(SOC) 15
2.2.2 安全資訊與事件管理系統(SIEM) 18
2.2.3 資安協作自動化應變(SOAR) 19
2.2.4 資安維運設備 19
2.2.5 資安設備IOC應用方式 23
2.3 威脅情報的來源種類及格式 24
2.3.1 公開來源情報（OSINT， Open Source INTelligence） 25
2.3.2 參與組織分享情報 (ISAC) 26
2.3.3 付費專業情報服務Google Mandiant Threat Intelligence 30
2.4 威脅情資IOC的應用 32
2.4.1威脅情資IOC的應用 32
第3章研究方法 37
3.1 威脅情資IOC應用設計 37
3.1.1 威脅情資IOC挑選規劃 38
3.1.2 IOC管理與執行方案設計 38
3.2 威脅情資IOC挑選案例 40
3.2.2資安攻擊事件 41
3.2.3 零日漏洞CVE-2021-44228 43
3.2.4 惡意程式 43
3.3 訪談設計 45
3.3.2 研究對象 46
3.3.3訪談提綱 46
第4章個案分析 48
4.1 個案公司介紹 48
4.1.1 研究個案1 48
4.1.2 研究個案2 48
4.2 訪談內容分析 49
4.2.1 訪談分析-A公司 49
4.2.2 訪談分析-B公司 51
4.3 威脅情資IOC驗證成果 54
4.4 小結 56
第5章結論與建議 57
5.1 研究發現與結論 57
5.2 實務建議 58
5.3 研究限制 58
5.4 未來研究建議 59
參考文獻 61

參考文獻

英文部分
1. BBC News. (2022, March 24). Tech Tent: Western tech firms count the cost of leaving Russia. BBC. Retrieved June 18, 2024, from https://www.bbc.co.uk/news/technology-60864283
2. Bing, C. (2021, May 15). Colonial Pipeline CEO says paying ransom was the right thing to do for the country. The Washington Post. Retrieved June 18, 2024, from https://www.washingtonpost.com/technology/2021/05/15/ransomware-colonial-darkside-cyber-security/
3. BleepingComputer. (n.d.). Apache Log4j. BleepingComputer. Retrieved June 18, 2024, from https://www.bleepingcomputer.com/tag/apache-log4j/
4. BleepingComputer. (n.d.). LockBit. BleepingComputer. Retrieved June 18, 2024, from https://www.bleepingcomputer.com/tag/lockbit/
5. CNBC. (2019, July 30). Here’s what we know about the Capital One data breach [Video]. CNBC. Retrieved June 18, 2024, from https://www.cnbc.com/video/2019/07/30/heres-what-we-know-about-the-capital-one-data-breach.html
6. Cox, J. (2020, July 31). The teenager who hacked Twitter. The New York Times. Retrieved June 18, 2024, from https://www.nytimes.com/article/the-teenager-who-hacked-twitter.html
7. CrowdStrike. (n.d.). Endpoint Detection and Response (EDR). CrowdStrike. Retrieved June 18, 2024, from https://www.crowdstrike.com/cybersecurity-101/endpoint-security/endpoint-detection-and-response-edr/
8. Cybersecurity and Infrastructure Security Agency. (2022, December 1). North Korean ransomware activity. Cybersecurity and Infrastructure Security Agency. Retrieved June 18, 2024, from https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a
9. Cybersecurity and Infrastructure Security Agency. (2023, June 7). Malicious Actors Exploiting MOVEit Transfer Vulnerabilities for Data Exfiltration and Extortion. Cybersecurity and Infrastructure Security Agency. Retrieved June 18, 2024, from https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
10. F-ISAC. (n.d.). Financial Information Sharing and Analysis Center. F-ISAC. Retrieved June 18, 2024, from https://www.fisac.tw/
11. Gartner. (n.d.). Security Information and Event Management Reviews. Gartner. Retrieved June 18, 2024, from https://www.gartner.com/reviews/market/security-information-event-management
12. GDPR EU. (n.d.). What is GDPR? GDPR EU. https://gdpr.eu/what-is-gdpr/
13. Google Cloud. (2024). APT41: A Dual Espionage and Cyber Crime Operation. Google Cloud. https://cloud.google.com/blog/topics/threat-intelligence/apt41-dual-espionage-and-cyber-crime-operation/
14. IBM. (2024a). Extended Detection and Response (XDR): An Overview. IBM. https://www.ibm.com/topics/xdr
15. IBM. (2024b). Security Orchestration, Automation, and Response (SOAR). IBM. https://www.ibm.com/topics/security-orchestration-automation-response
16. IBM. (2024c). What is Data Loss Prevention (DLP)? IBM. https://www.ibm.com/topics/data-loss-prevention
17. IBM. (2024d). What is Network Detection and Response (NDR)? IBM. https://www.ibm.com/topics/ndr
18. IBM. (n.d.). Security Operations Center (SOC). IBM. Retrieved June 18, 2024, from https://www.ibm.com/topics/security-operations-center
19. Imperva. (n.d.). What is a Web Application Firewall (WAF)? Imperva. Retrieved June 18, 2024, from https://www.imperva.com/learn/application-security/what-is-web-application-firewall-waf/
20. Mandiant. (2024). Threat Intelligence. Mandiant. https://www.mandiant.com/advantage/threat-intelligence
21. Mandiant. (n.d.). M-Trends. Mandiant. Retrieved June 18, 2024, from https://www.mandiant.com/m-trends
22. Microsoft. (n.d.). What are Indicators of Compromise (IoC)? Microsoft. Retrieved June 18, 2024, from https://www.microsoft.com/en-us/security/business/security-101/what-are-indicators-of-compromise-ioc
23. NICS. (n.d.). National Cyber Security Information Sharing and Analysis Center. National Information and Communication Security Taskforce. Retrieved June 18, 2024, from https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/National_Cyber_Security_Information_Sharing_and_Analysis_Center/
24. Palo Alto Networks. (n.d.). Next-Generation Firewall. Palo Alto Networks. Retrieved June 18, 2024, from https://www.paloaltonetworks.com/network-security/next-generation-firewall
25. Palo Alto Networks. (n.d.). What is an Intrusion Prevention System (IPS)?. Palo Alto Networks. Retrieved June 18, 2024, from https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-system-ips
26. Reuters. (n.d.). SWI.N - SolarWinds Corp Profile. Retrieved June 18, 2024, from https://www.reuters.com/markets/companies/SWI.N/
27. Trend Micro. (2023). 2023 Midyear Security Roundup. Trend Micro. Retrieved June 18, 2024, from https://www.trendmicro.com/content/trendmicro/zh_tw/security-intelligence/threat-report/2023-midyear-security-roundup.html
28. Tulloch, R. (2021, July 5). Ransomware attack led by REvil on Kaseya impacts hundreds of businesses worldwide. The Verge. Retrieved June 18, 2024, from https://www.theverge.com/2021/7/5/22564054/ransomware-revil-kaseya-coop

中文部份
1. IThome(2022)。SolarWinds供應鏈攻擊事件簿。IThome. https://www.ithome.com.tw/article/141943
2. 行政院資通安全處(2017)。「106 年國家資通安全防護整合服務計畫」需求說明書。未出版。
3. 財政部資訊安全中心(2024)。偽冒我國金融機構寄送釣魚情資(e-mail/SMS/社群/通訊軟體. 財政部資訊安全中心。https://www.fisac.tw/STIX_CASE/QueryStixCase/FileAllZip?FisacId=SWOWK8iStTPTCq__p_Yt__p_w5__s_fnuzPnUFPqM7wTcIYVkCxY__e_&SourceUno=dFOmXajHcMoFAYJ9P2MvR1ooztC__p_HYFGEp5MBFsoEk8__e_
4. 財政部資訊安全中心(2024)。偽冒我國金融機構網站及行動應用程式情資。財政部資訊安全中心。https://www.fisac.tw/STIX_CASE/QueryStixCase/FileAllZip?FisacId=SWOWK8iStTPTCq__p_Yt__p_w5__s_YAthFAuGOelptPVerx6dN0__e_&SourceUno=fyyG5M10uJR1waCTRVwuboHiB8izH24rejOVYOdU45Y__e_
5. 國家安全局(2024)。國家安全法。國家安全局。https://pavo.sipa.gov.tw/sipaCa/AReport/109/files/basic-html/page19.html
6. 國家通信傳輸管理局(2023)。112年度資訊安全服務長期評估報告v1.0. 國家通信傳輸管理局。https://download.nics.nat.gov.tw/UploadFile/attachfilespmo/112%E5%B9%B4%E8%B3%87%E5%AE%89%E6%9C%8D%E5%8B%99%E5%BB%A0%E5%95%86%E8%A9%95%E9%91%91%E7%B5%90%E6%9E%9Cv1.0_1130116.pdf
7. 國家標準技術研究所（NIST）(2024a)。Cybersecurity Framework。國家標準技術研究所。https://www.nist.gov/cyberframework
8. 國家標準技術研究所（NIST）(2024b)。Federal Information Security Modernization Act (FISMA)。國家標準技術研究所。https://csrc.nist.gov/topics/laws-and-regulations/laws/FISMA
9. 國際標準化組織（ISO）(2022)。ISO/IEC 27001:2022. 國際標準化組織。https://www.iso.org/standard/27001
10. 組織架構(2016)。行政院國家資通安全會報。民 106 年3月7 日，取自：https://www.nicst.ey.gov.tw/。
11. 陳曉莉(2023)。HTTP/2協定漏洞帶來史上最大DDoS攻擊流量，Google、Cloudflare與AWS皆創紀錄。IThome。 https://www.ithome.com.tw/news/159221
12. 資通安全署全球資訊網(2024)。資通安全管理法及子法。資通安全署全球資訊網。https://moda.gov.tw/ACS/laws/regulations/624
13. 維基百科(2024)。公開來源情報。維基百科。https://zh.wikipedia.org/zh-tw/%E5%85%AC%E5%BC%80%E6%9D%A5%E6%BA%90%E6%83%85%E6%8A%A5
14. 羅正漢(2023)。重新認識SOC！資安監控中心的三大階段進化。IThome. https://www.ithome.com.tw/news/158989
15. 羅正漢(2024)。【2023年有23起資安事件重大訊息】上市櫃公司屢遭網路攻擊，中小企業災情大增。IThome. https://www.ithome.com.tw/news/161666

指導教授

周惠文(H.W. Chou)

審核日期

2024-7-22

推文