儘管這句並非有誤,但此同時,「未知」型態的攻擊方式正不斷地製造出大量損失。「未知」代表的意思正是根本不知從何檢查起,那又如何預防,於是資安人員就在矛盾的邏輯中,不停地希望著救世主的到來。
綜觀所有事件處理的記錄,其實不難發現,事件處理的過程,要找到「未知」的攻擊方式或惡意程式,其實並不困難。
不管是幾年前的第一銀行、遠東銀行還是今年的司法院,進行事件處理後,其實都有效找出原本資安設備所無法偵測的惡意程式。所以,事件處理在技術上,對於辨識攻擊手法是非常有效的機制。
 |
| ▲中芯數據為國內唯一亦提供MDR雲端服務之廠商,客戶無須建置任何硬體與額外的人力服務費用,即可獲得包含完整資安事件或警訊的分析服務。 |
那麼資安人員為什麼排斥資安事件處理呢?其實主要原因不外乎是:第一,不能自動化。第二,沒有足夠懂資安事件處理的人員。隨著現在防護技術的發展,自動化蒐集事件處理專用資料的解決方案其實越來越多,自動化程度也不斷地提高。所以不能自動化的這件事,可以透過導入適合的解決方案來改善這個問題。至於另一個原因,才真的是資安防護根本問題。
舉個過去客戶的案例來說,該客戶曾經在某一天,防毒軟體偵測一個惡意程式,接著警報後刪除該惡意程式。沒有資安事件處理經驗的人,通常會不以為意。但是有經驗的資安人員一看到這個惡意程式的名稱,大概就會發現這個環境可能已經遭到滲透。因為這個程式正是有名的mimikatz。在任何機器上發現mimikatz,表示攻擊者已經有權限,可把mimikatz這個工具放到端點上執行。加上mimikatz最強的功能就是直接從記憶體中偷取密碼。
在攻擊者取得權限可以執行mimikatz的當下,又已經在內部網路嘗試取得更多帳號與密碼,這樣的情況,必然讓人想到攻擊者可能已經在這環境中擴散。但是在那個時間點,一般人在缺乏經驗的情況下,可能只會當作是個普通惡意程式。於是攻擊者仍然可以繼續潛伏著,直到事情一發不可收拾。
中芯數據是國內目前唯一可提供,從偵測、分析、也包含後續處理的MDR廠商。提供完全自動化的機制,同時透過有豐富經驗的事件處理團隊,讓客戶不僅只是在處理事件,甚至可包含其他設備的資安警訊,都可以更加輕鬆,可大幅降低需要花費的時間與人力。服務內容可以提供在合約期限內不限次數的資安事件處理與報告,更可以協助客戶進行惡意程式分析。包含下面3項主要特色:
1. 端點威脅即時檢測。
2. 持續性的檢測、監控及分析。
3. 資安事件回應及遠端處理。