現代惡意駭客組織為了謀取非法利益,往往無所不用其極來達到犯罪目的。被以破壞侵擾為手段發動恐嚇勒索攻擊,企業或組織或許還可花錢消災,但若是攸關企業市場競爭力的商業機密遭盜取,所造成的損害甚至足以危及整體營運。
面對外部威脅持續猖獗,企業一旦被鎖定為攻擊標的,即便是最先進的防禦技術,也無法百分之百保證滴水不漏,如此嚴峻的資安態勢下,除了積極運用新興資訊科技的力量打造未來數位化企業,資安敏感度較高的高科技製造、大型電子商務、金融等產業,在發展新興商業模式之際,也被迫不得不正視資安威脅性。從過往傾力投注建置多層次防禦體系,藉此提高攻擊門檻的思維演進至今,企業開始著重於擬定資安事件緊急應變計畫,並建立事後調查鑑識措施,藉由還原攻擊事件原貌,追溯最初被利用來滲透入侵的原始點,才得以補強改善,免於持續不斷地被突破防線。
但事後的調查鑑識需要高度專業,若非長期與駭客組織交手的資安人員,恐難以釐清真相,因此通常需要委由外部專家協助,勾勒整起資安事件的始末,使得IR(Incident Response,資安事故應變)服務成為近兩年備受關注的議題。
IR服務搭配EDR 降低專業人力負擔
只是以往的IR服務執行調查鑑識主要為人工,近兩年因應受駭企業數量增多,又衍生出EDR(端點偵測回應)新市場,資安鑑識專家不需逐台電腦調查,透過AD服務派送部署用戶端程式,之後再透過自動排程蒐集端點資訊,或是在資安事件發生時執行,回傳至統一管控伺服器或資安監控中心(SOC),讓龐大資料量得以透過工具輔助蒐集與收斂,降低資安人力負擔。
 |
| ▲ 鑒真數位自主研發eDetector,提升蒐證與分析效率以外,亦可藉此偵測發現病毒碼無法判定的惡意程式運行。 |
台灣威瑞特總經理吳明蔚觀察,過去資安領域皆著重於事前防禦,卻未想過萬一被滲透入侵後該如何處理,多數企業端環境根本沒有擬定遭受滲透入侵攻擊後的事件後續處置(Post-Incident),因此才開始仰賴資安廠商提供的IR服務,也就是緊急應變處理服務。「此服務主要以人天計費,台灣目前行情價格大約每人每天六萬左右,查看十台以下電腦,在市場上已經算是公定價。」
問題是,由資安專家徒手執行產能有極限,若內部電腦上百台,又要求一星期內執行完成調查鑑識並提出事件追蹤報告與改善建議,只能增加更多人天費用才得以達成。因此,愈來愈多的資安廠商開始思考提供工具的方式來降低門檻,也就是運用EDR先收斂可疑資訊,確認內部感染的範圍與標的,再投入專業人力深入分析。但吳明蔚強調,此種調查鑑識並非為因應法律訴訟,產出的報表可能不具司法證據力,畢竟IR重點在於釐清資安事故源頭及惡意行為途徑,目的是改進補強資安防禦。
SOC、EDR、CTI統合 綜觀全局識破非法行為
自Gartner於2013年開始統計新興EDR市場以來,至今已累計約30家技術供應商,其中當然也有知名防毒軟體廠商,但吳明蔚認為,EDR出現的目的主要是運用先進的機器學習與人工智慧技術,執行蒐集使用者行為、樣態,不須透過防毒引擎實作來判定善意或惡意,同屬於EDR領域的Verint XecProbe也是如此。
他進一步說明,防毒引擎擅長處理的資安事件,主要仍舊偏重為已知型攻擊,基於特徵碼來分析比對;但是EDR所擅長的作法,核心設計即是針對不具特徵碼的攻擊手法,以駭客技巧為基礎,運用機器學習與人工智慧,來識破使用者行為模式中潛藏的惡意,兩者技術發展本質上就有差異。
就近來資安領域備受討論的資安威脅情報(Cyber Threat Intelligence,CTI)來看,理論上應提供的是除了黑名單以外的攻擊手法、應用情境描述等更多抽象的資訊,「我認為現代的CTI應該是描述一堆小故事,說明欺騙行為的面貌,而非僅為獨立的物件。因此Verint XecProbe的設計,即內建全球駭客常用的迴避偵測技巧,如此一來即毋須詢問CTI,立即可判定發出告警。」
目前Verint推向市場的策略並非單獨提供EDR,而是整合成為TPS(Threat Protection System)的一環,主要著眼於現代企業疊床架屋的資安建置模式已無法因應更多新型態威脅。規模較大的IT環境,不僅端點要具備辨識駭客技巧的能力,亦須綜觀全局,建立資安監控中心(SOC)。畢竟現在愈來愈多合法連線行為的背後,其實是已滲透成功的攻擊者所發動的橫向擴散,唯有由SOC統籌威脅情報與內網狀態資訊,才得以第一時間識破異常行為,破壞攻擊活動。
鑒真數位自主研發 eDetector輔助蒐證工具
在專業鑑識領域已累積多年經驗的本土廠商鑒真數位,同樣看重資安專業人力資源有限,要從大規模感染的環境中找到滲透入侵的起始點,勢必需要合適的工具輔助才得以提升效率,因此將自家領域知識轉換為軟體,研發推出新一代惡意程式偵測、蒐證及分析工具eDetector。
鑒真數位執行長黃敬博說明,企業需要調查鑑識的主因,通常為了釐清究竟是內部人為還是遭受駭客入侵,因此必須深入查看Log跡證,並且追蹤到來源,儘管最後往往是指向國外的IP位址,不過至少可解除企業主的對內疑慮,同時修補被攻破的弱點。
日前推出的eDetector,可應用在資安事件發生時,執行快速篩檢。可透過AD服務執行軟體派送eDetector代理程式,成功後該程式會連線回到控管伺服器,即可遠端呼叫執行以便定期掃描與蒐集Log;亦提供資安緊急事件處理現場專用版,可獨立安裝於筆電,預先載入eDetector合作夥伴MetaDefender特徵碼資料庫,在內網中執行大規模掃描。
黃敬博進一步說明,以長期監控版本為例,後端MetaScan伺服器主要是運行特徵碼資料庫,成為eDetector掃描機制的基礎,並包含從已被滲透入侵的電腦中取得之樣本特徵值,藉此黑名單找到其他遭受感染者;白名單機制則是微軟發佈的程式檔,或是產業常見的軟體程式。
至於非為黑白名單之列的檔案,則進而透過沙箱機制來分析,目前是協同VMRay共同建置。此外,eDetector亦可藉由記憶體掃描等技術,偵測防毒軟體無法發現的勒索病毒執行緒。