Advanced Persistent Threat Deep Discovery Inspector FireEye as a Service APT Premium Service Cisco Umbrella Deep Security Trend Micro OfficeScan kill chain Fortinet FireEye iSight Cisco 趨勢科技 FaaS APT EDR

抽絲剝繭偵查滲透活動 全面遏阻APT攻擊

2018-04-03
資安業界幾十年來發展的觀念,大部分都是著重在已知威脅的偵測與防禦,但是APT攻擊防禦卻不屬於此範疇,更偏重於未知型威脅,混合非法或合法工具來執行攻擊入侵。甚至APT攻擊發動者,也開始運用開放原始碼工具來執行,除了可降低成本,即便被偵測發現也難以追蹤得知幕後的駭客團體,以掩蓋惡意行徑。
趨勢科技資深技術總監戴燊指出,企業內部建置的所有防禦措施,都是為了提高攻擊門檻,以降低駭客成功機會,沙箱技術早已成為其中一環。問題是,攻擊手法日漸多樣化,變得難以精準地發現活動的蹤跡,對此,過去的資安防禦建置可能就會面臨挑戰。一旦滲透入侵後,開始橫向擴散,大多利用正常行為偽裝,公司內部網路若缺乏監看異常行為能力,恐將錯失控制感染範圍的時間點,因攻擊者可在此階段不斷地嘗試擴散,或者是在內部潛伏掌握整體IT架構,盡可能掌握更多合法帳密,以進行最後資料竊取的目的。

正視攻擊威脅 擬定標準處理程序

儘管APT攻擊因應之道已探討多年,但是在台灣,跟進的速度仍相當緩慢。

戴燊指出,面對新型態威脅,風險管理方式除了重要主機,更應該依據資訊流,建立控管機制。目前的障礙是大多企業網路架構設計不良,在內網中未依照資料的重要等級定義優先順序,也就難以建立完整的防護,影響所及往往是網路的縱深不足,只要有惡意程式滲透進入,即可迅速地橫向擴散感染,在極短的探索時間內取得標的機敏資料,根本來不及防範。

會有前述的狀況,主因在於IT人員無法掌控所有環境。公司規模愈大,IT部門分工愈細,甚至有許多維運的資訊系統為前人所遺留,根本不知道最初設計的理念,後續接手的IT人員只能遵照交接的流程進行維運,卻不知原因。因此也衍生出擁有特權帳號者的警覺性過低,畢竟日常需維運的主機數量相當多,為了方便性,直接以Administrator或Root帳密遠端登入內部關鍵應用系統,自然也可能被駭客所利用。


▲趨勢科技在本土累積厚實經驗,轉化為可協助強化防禦、持續偵測、快速回應的APT防禦偵測平台。(資料來源:趨勢科技)

歸咎其原因,戴燊觀察,多數管理者對於網路安全威脅資訊過於落後,甚至在資安事件發生過後仍無法記取教訓,始終未建立資安事件標準處理程序,才使得每次爆發資安事件時只能仰賴廠商處理恢復正常營運。

駭客內網行為分析 遠端監控偵查異常

▲趨勢科技資深技術總監戴燊認為,沙箱模擬技術確實對未知惡意程式有一定程度的偵防力,但也不可能解決所有問題,勢必要搭配其他技術工具,面對不同類型的武器,才能增加可視性。
依據營運環境調整資安管理辦法,已是因應駭客組織威脅加劇的首要作為,接著才是據以評估所需的輔助工具,落實控管措施。

趨勢科技除了提供自建的進階網路安全防護解決方案,涵蓋網路、郵件、端點所須的防禦技術之外,近來亦提出駭客內網行為分析服務(APT Premium Service),彙整企業或組織單位內部所有資料,供大數據平台基於機器學習建立資料模型,由資安技術人員執行持續監控。

駭客內網行為分析服務的組成包含伺服器環境的DS(Deep Security)、網路流量監控的DDI(Deep Discovery Inspector)、趨勢科技端點感知器(TMES)與日誌蒐集器(Event Log Tool)、大數據威脅資料分析中心,以及APT技術顧問。

戴燊進一步說明,端點感知器與日誌蒐集器為趨勢科技研發設計的事件偵測回應(EDR)工具,在端點系統執行記錄與分析,把未知與異常行為資訊回傳到大數據威脅資料分析中心,進而彙整閘道、網路控制點所產生的資料,萬一發現蛛絲馬跡,可以基於蒐集取得的資料回溯過去六個月曾發生哪些事,把可疑的點全數串連,才得以釐清初始入侵途徑、感染範圍、惡意修改的檔案等資訊,提供客戶APT事件通知,以及建議處理流程。

「在大數據威脅資料分析平台上彙整所有資料後,透過我們制定的規則偵查,該規則即採用機器學習演算法實作。至於人工智慧、大數據如何幫助因應APT攻擊,則是應用於資料分析,藉此快速地判斷資安產品觸發產生事件中,有哪些屬於APT的行為,甚至可利用這些資料分析出是否為相同駭客所為,釐清背後的目的。」戴燊說。

由於趨勢科技長期協助本土企業處理資安事件,已累積龐大的領域知識,實作在大數據威脅資料分析平台,以及人工智慧演算法的邏輯,用來提升資安事件處理效率,同時也持續調校資料分析模型,才得以達到更高的精準度。最後結果會再回饋到端點,藉此大幅地提高偵測率與執行效率。

OfficeScan整合EDR 提升偵測與回應力

在駭客內網行為分析服務中所搭配的端點感知器與日誌蒐集器,本為趨勢科技為資安專家所設計的EDR工具,用以降低事件調查的複雜度。問題是企業或組織單位內部大多未配置專屬資安人力,無力判讀蒐集取得的資料,再加上多數IT人員對於端點上所安裝的程式多有顧忌,擔心日後可能需要功能性與漏洞修補更新,恐加重維運複雜度。

「因此在OfficeScan今年發布的新版中,開始納入整合EDR工具。以防毒引擎為基礎所設計的端點安全防護解決方案,幾十年來累積終端系統整合應用的知識,產品與架構皆相當成熟,如今以整合方式提供,正是新興技術業者無法取代之處。」戴燊說。

因應現代APT攻擊,不論是事前防禦偵測、事後調查與處理,都需要掌握閘道與端點環境的所有資訊。透過大數據平台彙整後,採用機器學習演算法技術執行分析,搭配DDI偵測掌握的情資,如此整合運行下,提升偵測與回應效率,才得以抗衡新型態的資安威脅。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!