Advanced Persistent Threat FireEye as a Service APT Premium Service Cisco Umbrella X15 Software Trend Micro SmartVision kill chain Fortinet FireEye iSight Cisco Helix 趨勢科技 FaaS APT

資安專家系統化服務 助力事件調查回應

2018-04-02
隨著近年來國際間重大資安事故頻傳,資安防禦機制除了須持續不斷地提高事前偵測率以外,FireEye亦積極發展大數據資料分析平台的雲端服務與自建方案,提供持續監看並降低事件調查所需耗費的人力成本。
FaaS(FireEye as a Service)屬於託管的偵測、調查與回應服務,客戶端佈建FireEye HX端點安全與PX網路取證方案,再由專業資安團隊遠端監控網路與端點,一旦主動偵測到狙殺鏈中任一階段,可即刻著手調查,判斷受影響範圍與行徑時間軸,同時亦可指出背後的操控者以及攻擊動機,最後給予遏制威脅的建議。

就運行架構來看,FireEye台灣區大中華區首席技術顧問蕭松瀛說明,PX設備設計為旁路,用以錄製網路流量,以PCAP(Packet Capture)標準檔案格式存放; HX端點安全的鑑識功能則是錄製電腦記憶體。不論是資安專家遠端監控發現入侵指標,抑或是閘道端與終端保護機制偵測到威脅並發出告警,FaaS團隊皆可透過PS與HX撈取證據資料,掌握更多歷史軌跡,從中釐清感染狀態,以確認是否為誤判,或界定感染範圍。


▲ FireEye Helix架構是以iSIGHT威脅情資為基礎,所設計的資安事件偵測與回應,讓不具備資安背景的IT人員可依據建議執行處理的程序,透過圖形化操作介面點選完成事件回應。

「只是在台灣推廣FaaS,企業或組織往往會跟市場上的資安監控中心(SOC)服務混淆。事實上,SOC通常是在發生資安問題時,由委外代管服務供應商(MSSP)派人到場協助處理,但FaaS則不會派人到場檢測。」蕭松瀛說。用戶在訂閱FaaS之後,每個月會執行一次Compromise Assessment,基於入侵威脅指標執行大規模檢查,若從中發現問題則會進一步調查與分析。

Helix偵測與回應平台 簡化事件處理程序

由於FaaS為專業資安專家遠端監控,若企業或組織更傾向自建,FireEye也有去年(2017)新推出的Helix偵測與回應平台,雖目前仍以雲端服務模式提供,不久後亦將推出自建版本,屆時即可藉此平台蒐集IT架構所有節點產生的日誌,提升整體能見度。

蕭松瀛進一步說明,Helix是FireEye自主研發的新產品線,現階段是以雲端服務方式提供,長期計畫是發展成為SIEM解決方案,讓企業或組織導入建置。目前在雲端版本之下,客戶可直接以訂閱方式採用,依據每秒處理的事件數量(Events Per Second)計費,搭配HX端點安全方案整合運行。

例如蒐集到防火牆的日誌中有告警,下一個步驟是找到觸發告警的端點,以便釐清事件觸發原因,然而閘道端可提供的資料有限,欲勾勒出事件完整過程,勢必得同時掌握終端所產生的日誌記錄。透過Helix分析平台與HX端點安全的整合,可直接透過HX採集該台電腦的證據,觸發告警的當下所執行的程序,釐清回呼中繼站的檔案。待確認惡意樣本後,還必須進一步檢查公司內部其他電腦是否有相同MD5值,此時亦可透過HX端點安全執行搜尋。

此外,針對蒐集日誌發現已觸發的防火牆事件記錄,可藉由Helix分析平台整合的iSight威脅情資機制,追蹤被阻斷的IP位址詳細資訊,查探攻擊者來源、所屬駭客組織,更重要的是提供建議的處置方式,在視窗中選用下拉選單,只要根據圖形化精靈視窗提示建議執行的動作,點選下一步即可逐步完成回應動作。

儘管Helix確實可協助提升事件回應的效率,蕭松瀛不諱言,在台灣市場推廣最大挑戰是日誌必須遞送到雲端,客戶恐會有抗拒心態,因此正在發展中的自建版本,將有助於提升接受度。日前最新發布併購取得的X15 Software大數據分析平台技術,將整合於Helix自建版本,畢竟Helix蒐集的日誌數量相當多,必須要有能力處理與分析大數據資料,才得以讓整體運行。

SmartVision查東西向流量 防範內部擴散

▲FireEye台灣區大中華區首席技術顧問蕭松瀛指出,資安防禦機制除了不斷地提高偵測率以外,若可進一步提供攻擊來源、駭客組織、慣用手法、內部感染狀況等深入資訊,將有助於彰顯APT防護解決方案的價值。
因應APT攻擊經常採用客製化、未知型惡意檔案發動,FireEye可說是早期設計以沙箱模擬技術相抗衡的廠商之一,如今沙箱則已成為眾家資安廠商必備的功能。蕭松瀛觀察,坊間業者提供的沙箱功能大多是雲端版,發展策略與FireEye不同,FireEye主要是內建於NX網路安全設備,在產品設計方面,當流量通過時,設備內建的兩個通道,會執行In-line通道流量複製,再從中擷取檔案。

但畢竟沙箱模擬分析需要時間,若為In-line模式,恐造成傳輸瓶頸,因此若是第一個接收到未知型檔案者,用戶取得檔案的同時,該檔案也正在運行沙箱模擬分析,若結果發現為惡意,經過分析所掌握的行為資訊,即可成為攔阻的基準點。也就是說,第一個下載檔案者確實會被感染,此時就需要端點執行後續處置,確保再出現類似手法時可準確地被偵測與攔阻。

去年FireEye推出第五代NX網路安全設備,搭配的FireEye OS 8.0中,新增加檢測東西向流量的SmartVision功能,正可強化偵查在狙殺鏈攻擊階段中,諸如利用SMB、CIFS等網路芳鄰通訊協議漏洞進行的攻擊活動。

蕭松瀛說明,南北向與東西向流量檢測之所以有差異,主要在於通訊協定並非一致,其次是進出流量所建立的In-line架構,無法直接套用到東西向流量檢測,通常是旁路模式,透過Tap與流量複製,大約監控二十個左右的通訊協定,裡面已經有撰寫好的規則,例如駭客常利用「\\IP位址\C$」指令、特殊帳號等手法,皆可藉此檢測發現。

當內部網路傳遞檔案的時候,SmartVision可執行偵測,但SMB 3.0通訊協定開始支援加密,目前主要運用於伺服器環境,如此情況下,即便SmartVision功能再強大也無法發揮。欲解密執行查檢,必須透過In-line模式建立中間人掌握憑證,若為Tap模式,則僅為單向流通,根本無法更改憑證,這是架構面的先天限制。不過既然在檔案移動時無法解析,亦可等到靜止時再執行掃描,以免惡意程式利用正常文件為載具,進行擴散攻擊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!