在COVID-19疫情蔓延期間,企業IT忙著因應分流或居家辦公防疫措施,提供全體員工透過VPN服務遠端登入內網執行任務,協助各部門團隊運用雲端服務進行視訊會議以及協同工作,還得盡速回應伺服器軟體、防火牆、VPN等接連被揭露的新漏洞,安裝修補更新或先行以虛擬補丁方式防範滲透攻擊,對於IT部門而言,確保營運不中斷與控管資安風險可說是當務之急。
為了更進一步了解受到疫情衝擊的企業現況,近期國際資安大廠陸續發布調查報告,例如趨勢科技委託研究機構Osterman Research執行的「如何降低網路釣魚和勒索病毒的風險」白皮書,訪談130名北美中大型企業的網路資安人員,84%受訪者回答過去12個月內曾遭遇網路釣魚與勒索病毒威脅;Sophos最新的《2021年勒索軟體現況》報告更指出,超過54%的IT管理者認為網路攻擊過於先進,IT團隊無法自行處理。
另一份數據是Palo Alto Networks於今年(2021)年第一季,針對台灣300家企業IT決策者和業務領導者進行問卷調查,報告指出80%的台灣公司正在加速數位轉型的腳步,以因應COVID-19帶來的挑戰。此外,IT整體預算用於提升資安能力,40%著重於透過網路設備的升級,37%採用雲端解決方案,30%為端點解決方案。
Gartner定義的延伸式偵測及回應(XDR)架構,整合跨技術領域管道產生的日誌,經正規化後存放在資料湖(Data Lake),以機器學習演算分析提高資安維運效率。(資料來源:https://www.gartner.com/)
面對COVID-19疫情起伏不定、數位轉型計畫實施、外部攻擊威脅更加活躍,企業營運安全性備受挑戰,也驅動資安防護技術加速進化。過去IT基礎架構必備的防火牆與防毒軟體,相繼提出擴展式偵測及回應(eXtended Detection and Response,XDR)架構,例如Fortinet FortiXDR、Palo Alto Networks Cortex XDR、Sophos XDR、Trend Micro Vision One等,基於雲端原生開發分析平台,把原本各自獨立的端點、網路、雲端、郵件等跨領域技術產生的日誌,完整蒐集存放於Data Lake(資料湖),運用機器學習演算模型分析,降低資安維運門檻,讓IT人員得以藉此縮短異常行為平均偵測時間(MTTD)與平均回應時間(MTTR),即使疫情緩解後混合辦公成為常態,亦可提高資安風險控管能力。
端點防護方案持續演進邁向XDR
隨著國際間政府組織、國際級大型企業、本土眾多高科技製造業接連遭受勒索軟體威脅,如今的資安控管能力逐漸成為顯學,市場上的技術方案進展速度也隨之加快。Palo Alto Networks台灣技術顧問總監蕭松瀛觀察,從端點的角度來看,過去防毒軟體逐年發展增添存取控管、資料外洩防護等機制,被Gartner重新定義稱為端點防護平台(EPP)產品。但自從進階持續性威脅(APT)攻擊手法開始被用來獲取非法利益,促使變種病毒成長速度加快,過往由企業提交病毒樣本給廠商研發提供特徵碼來防堵的作法,早已趕不上變種病毒的腳步。
從許多遭受APT攻擊的新聞事件中可發現,攻擊者已可成功繞過以特徵碼偵測為主的EPP、次世代防火牆、郵件安全等資安防護機制,在滲透成功後潛伏且伺機橫向移動,竊取高權限帳密以便於合法地把機敏資料遞送到中繼站。企業往往直到內部機敏資料在暗網上被販售,甚至是接到檢調單位通知,才驚覺資料早已外洩。
為了協助企業著手進行資安事件調查,資安廠商開始成立資安事件回應(Incident Response,IR)團隊提供服務,運用端點偵測與回應(EDR)工具進行鑑識,以更有效率地還原攻擊活動的軌跡,匡列出遭受感染的標的,讓內網環境得以「清零」,以免重複事件不斷發生。由此可發現,當EPP防禦機制無法攔阻攻擊活動,便需要有EDR工具輔助事後調查與回應處理,以及產出報告說明真相,兩種技術本就為互補,自然演進整合成以單一代理程式來提供端點防護。
不過EPP功能性較為單純,偵測到惡意程式可直接執行攔阻,但EDR則需要資安專業知識來判讀、解釋攻擊手法,並且提出採取行動的建議,以回應該攻擊活動。於是擁有EDR技術的廠商,開始提供託管式偵測及回應(MDR)服務,讓企業IT環境得以交由專業資安團隊持續監控,一旦發現異常行為,立即執行調查並且提出報告,商業模式類似企業熟知的基於SIEM(資安事件管理)平台提供之7×24小時SOC(資安監控中心)服務。
針對不傾向委由外部專家持續監控的企業,如今則可採用基於雲端原生開發的XDR平台,跨技術領域整合多種類資料型態,讓機器學習演算分析改善保護與檢測能力,把原本專業資安研究員手動調查與鑑識的操作流程,轉換為流程腳本式的Playbook自動化執行,不僅降低資安維運負擔,亦可弭平技能落差。
威脅偵測與事件回應再強化
依據Gartner的定義,降低資安維運複雜度、讓維運團隊得以運用機器學習演算輔助縮短學習曲線,可說是XDR架構的核心價值,其藉由特定供應商的威脅偵測與事件回應工具,可將多種類別的產品線統一由XDR平台執行控管。趨勢科技資深技術顧問吳宗霖認為,XDR必要功能包括資安事件分析、日誌彼此關聯與觸發告警、自動化執行回應或給予操作建議。
他進一步解釋,資安事件分析著重於將廣泛的資料來源彙整到統一平台,因此在XDR平台發展初期,勢必將以自家產品為主,才可讓非結構資料型態建立正規化存放在Data Lake。其次的日誌彼此關聯與觸發告警進而產出事件,之所以重要,吳宗霖以實際委託趨勢科技協助處理勒索軟體事件的企業為例,本已部署EDR輔助監控,並非未偵測發現異常活動,反而是自從部署完成後平均每天都有多達30個高風險事件,一段時間過後維運團隊已麻痺,難以再去關注告警資訊,才讓勒索軟體感染成功。對此,趨勢科技設計的XDR平台,稱為Vision One,內建威脅情資所撰寫的模型,即可解決告警疲勞的問題。
例如對知名的APT29駭客組織,Vision One已掌握其中繼站、惡意程式雜湊函式、慣用漏洞CVE編號等指標,因此可撰寫成演算模型,根據餵入的日誌運行關聯比對並且產出評分,若僅發現一筆中繼站連線評分屬於低風險,但若同時涵蓋CVE、雜湊函式,則立即跳升為高風險,此時才會發出告警。
針對惡意程式檔案,IT管理者可藉由Vision One平台圖形化介面操作取得該檔案,相當適用於COVID-19疫情衝擊下衍生混合辦公模式,員工的裝置不論在全球任何地區,IT管理者皆可藉此機制直接取得異常檔案樣本深入解析,若確認為惡意,同樣可透過Vision One平台自行定義雜湊函式,以便即時阻斷,降低釀成資安事件的機率。