本土極少數具有自主研發APT防禦方案的艾斯酷博(Xecure Lab),在2014年被以色列公司威瑞特(Verint)收購,成為該公司唯一境外的研發中心,原本的核心技術XecProbe,已被納入威瑞特今年(2016)推出的TPS(Threat Protection System)防禦設備之中,藉此提供企業用戶建構涵蓋網路監控、端點事件偵測與調查的統一平台。
TPS主要部署於閘道端,內建C&C引擎與檔案分析技術,以Port-mirror架構解析網路上的封包;端點則是透過Endpoint Forensics執行。統合檔案、端點、網路流量的所有資訊與告警,讓IT環境的可視化程度提高,同時輔助資安人員有效率地執行事件調查。
 |
| ▲台灣威瑞特資安研發長邱銘彰提醒,外部威脅變化速度極快,資安工程師亦須自我成長,具備駕馭工具的能力而非僅是依賴,懂得事件背後的意義才是價值所在。 |
台灣威瑞特資安研發長邱銘彰指出,TPS目前並未整合其他SIEM平台或Log管理機制,內部資訊主要透過自家研發的Sensor解析資訊;外部的威脅情資,則是透過合作夥伴提供客戶訂閱取用,經由TPS整合內部與外部所有資訊後,即可運用於監控、偵測、調查、回應。
由於現階段資安業界技術仍無法完全阻止惡意入侵,接下來的工具勢必要發展可協助資安人員執行回應與調查的機制。他指出,「畢竟APT攻擊並非藉由特徵碼比對得以發現,勢必要靠資安專家以手動方式進行調查與鑑識,這部份所需耗費的資源可說是資安實務最大的瓶頸,因為完全必須由人力執行。近兩年來資安市場興起的EDR及IR服務,多數仍著重於偵測能力,把Log與情資全部集中到SIEM平台,資安專家則必須先以人工方式過濾誤判事件,才能深入調查問題核心。如此耗時費力的工作型態,相當需要TPS這類自動化工具協助提升效率。」
其實近年來資安大廠皆以機器學習演算法實作大數據分析,即是為了解決人力資源瓶頸。但究竟該如何辨識差異性?邱銘彰認為,「這考驗的是『甲方智慧』,企業組織即使委外或採購資安方案,仍需要懂得問對的問題。必須先釐清自家環境問題點、需要補足或強化的控管機制,才能得到適合的答案。」
在「外部威脅勢必入侵」的前提下,擬定企業因應策略已是當務之急。公司內部須培養具備行業知識的IT或資安人員,否則若自家應用系統的日常工作邏輯都無法掌握,當然難以解讀自動化設備產出的報告內涵。因此,IT或資安人員要先看得懂自家環境產出的Log,再評估市場上可提供自動化分析的方案,待工作效率的瓶頸解決後,再進一步深入於調校分析報告內容的精準度。如此正向循環,逐步轉化為主動發現,才能實踐事前預防的效益。