有鑑於未知型惡意程式攻擊經常造成損失慘重的資安事故,精誠資訊近期引進以色列端點偵測與回應(EDR)領域廠商Cyberbit,母公司Elbit Systems在以色列為相當知名的防禦系統供應商,主要協助國家政府、軍方單位建置大型防禦系統,以往未曾推出過商業產品,直到近兩年才設立Cyberbit以四大解決方案,包含EDR、SOC 3D、SCADAShield、Cyberbit Range,在全球推廣。
其中的EDR與SCADAShield雖皆為端點方案,實際上則是前者針對IT,後者針對OT,蒐集取得的資料後皆遞送到統一平台執行行為分析與執行回應。Cyberbit香港暨台灣區區域總監譚展鴻說明,資安領域常見的行為分析方案,大多仰賴雲端平台執行,以大數據為基礎建立人工智慧與機器學習,Cyberbit的作法則是把人工智慧機制納入端點方案,運用機器學習降低誤判率。
國防等級防禦思維設計端點安全方案
當資訊科技開始出現典範轉移,創造新經濟模式之後,驅動現有產業發展數位轉型,精誠資訊數位應用整合事業部資深協理詹伊正觀察,在轉型的過程中,新興資訊科技確實讓工作生產力得以進一步提升,同時也帶來新型態的威脅,從新聞事件已可發現,新興資安問題層出不窮,幾乎已非傳統技術得以防範。
「Cyberbit為EDR解決方案供應商,從過去的規則條件式篩選比對,發展到機器學習演算法,進而建立人工智慧,擁有洞察漏洞的能力。我認為,2018年的資安發展主軸,會從過去談論較多的Prevention(防護)、2016年Gartner調查報告中常提及的Predict(預測),到2017年RSA年度大會中探討的Precise(精準)。防護能力已是基本,必須具備預測威脅發生,且精準地執行相關處置,才得以防患未然。」詹伊正說。
譚展鴻指出,2015年成立的Cyberbit,員工人數大約200多名,一半以上皆為研發人員,且多數具備以色列軍方防禦系統的發展與維護經驗。Elbit之所以要設立Cyberbit子公司,即是發現多數防禦機制面對新型態攻擊已無招架之力。以往企業或組織認為資安建置,只是為了保險,大多在遭受攻擊後才會開始重視。近幾年攻擊者廣泛採用進階持續性滲透攻擊(APT)手法發動,且主要以獲利為目的,在國際間造成不小損失,因此成立Cyberbit研發設計商業版,如今由合作夥伴精誠資訊引進台灣市場,即可基於本身具備國防等級的資安技術,協助台灣政府、軍方,抑或是大型企業建置更完善的資安架構。
「畢竟資安體系的建立本就是要擬定發展目標、實施計畫,再逐步導入解決方案輔助落實,並非一蹴可幾,如今的攻擊威脅持續地轉變,技術方案亦須不斷與時俱進,才得以防範新威脅。」譚展鴻說。
行為分析與機器學習 持續監看掌握異常
自從行動化普及後,企業內網的關鍵應用系統高度仰賴網路連線提供服務,可能遭受攻擊的管道也隨之擴大,再加上駭客工具設計精良,攻擊者只要鎖定標的,不需要高深的技術能力,即可滲透入侵任何對外連線的裝置,包含筆電、IP監視器、物聯網感知器等,利用端點成為跳板橫向移動,伺機存取核心系統。
譚展鴻指出,愈來愈多應用場景朝向IT與OT整合發展,例如關鍵基礎設施,欲建立全面安全性保護措施,Cyberbit可提供IT與OT整合性保護方案,也就是EDR與SCADAShield。
 |
| ▲ Cyberbit把人工智慧應用到端點方案,以機器學習實作降低誤判率。(資料來源:Cyberbit) |
多數的EDR方案,在安裝代理程式之後,須透過入侵威脅指標來判別,為了趕上新型態惡意程式持續變種的速度,無法僅仰賴入侵威脅指標執行偵測,可能還會搭配雲端平台提供的大數據與機器學習技術輔助。問題是把蒐集取得的資料上傳到雲端,並非所有機關單位皆認同,亦會面臨資料隱私的考量。
Cyberbit以國家安全思維設計的解決方案、端點安裝的代理程式引擎,可即時偵測與蒐集核心層與使用者空間的行為資訊,包含記憶體、檔案系統、登錄檔、執行程序、網路進出連線,再統一透過內部建置的大數據系統,運用機器學習演算法與行為分析,依據威脅等級排列優先順序,協助IT人員執行鑑識。
此外,行為分析能力可辨識出潛在的異常活動,並且以圖形化方式呈現相關行為,以便於深入調查可以活動的背景資訊;至於機器學習演算法,主要是運用統計模型來識別異常,已建立數百種威脅情境,並學習辨識各種測量維度中的典型威脅,建立行為基準線,一旦識別出顯著偏離的可疑活動,則立即發出告警。
網路攻防模擬系統 藉此培育資安專才
「未來的端點安全保護應該由EDR主導,如今防毒引擎的應用價值已愈來愈小,現在以特徵碼與入侵威脅指標為基礎的防禦機制已經相當成熟,但雖有能力偵測已知威脅,卻無法從中發現未知攻擊。而現代攻擊成功的手法,主要皆採用未知型檔案發動,新世代端點安全不僅須運用行為分析偵測未知,發現異常亦可執行回應機制,降低可能造成的損害。」譚展鴻說。
 |
| ▲ Cyberbit香港暨台灣區區域總監譚展鴻(左)、精誠資訊數位應用整合事業部資深協理詹伊正(右)指出,在數位轉型浪潮下,既有IT邊際日趨模糊,端點安全也勢必須要進化,建立可隨時隨地保護的措施。 |
除了端點保護方案以外,網路攻防模擬系統亦是Cyberbit所擅長。譚展鴻觀察,全球各國政府對於資安的要求愈來愈強,凸顯出人才不足的窘境。根據許多研究報告指出,到2019年,全球Cyber Security人才需求總數大約二百萬,儘管台灣企業或組織IT規模較小,需求量也可能達到幾十萬,人才若無法到位,即便是採用最新的工具輔助,資安風險同樣無法有效控制,抑或是加重IT委外服務的預算支出。「現階段全球已有超過十個教育訓練中心是以Cyberbit Range為基礎,希望今年內在台灣也能建立,讓學員藉此實際操作攻防演練,也就是訓練藍隊與紅隊的平台,藉此累積經驗,培育資安專才。」