Endpoint Detection and Response Endpoint Protection Platform McAfee Behavioral Analytics Investigator Defender MVISION Skyhigh McAfee ATT&CK MITRE CASB EDR ePO MAR EPP

確保數位工作環境安全 降低潛在資安風險

2019-02-14
自Intel Security部門拆分後的McAfee,不僅於2017年底宣布收購Skyhigh Networks,取得該公司知名的雲端存取安全代理(CASB)技術,並針對雲端應用相關安全防護機制提出MVISION全系列方案。
輕量版的MVISION Endpoint架構於Windows 10,Mobile則是保護iOS與Android系統環境免於遭受Wi-Fi中間人攻擊導致個資外洩,Cloud用於強制配置採用IaaS、SaaS服務控管政策,另預計2019年將推出MVISION EDR深入事件調查與回應,全系列皆可採用ePO雲端服務提供的統一控管中心,來簡化控管的複雜度。

McAfee台灣區總經理沈志明說明,MVISION是McAfee為新世代工作環境所發展的整合式解決方案。由於Windows作業系統已經內建Defender,確實也發現許多企業開始採用,問題是不夠完整,例如仍舊得防範垃圾郵件發起的進階威脅攻擊。此時MVISION Endpoint即可協助補強,同時可基於MVISION ePO平台,統一納管Defender的防護政策與統計報表。

「中小企業員工的筆電或桌機搭載Windows 10作業系統,除啟用Defender防毒功能以外,亦可搭配MVISION Endpoint加強進階威脅防護能力。公司內部毋須自建控管平台,MVISION ePO雲端服務即可協助統一控管。」畢竟內部自建的EPP解決方案架構較大,對於中小企業而言部署與維運複雜度過高,如今即可選用MVISION,在確保安全性的同時,簡化部署與管理成本。

以勒索軟體為例,由於犯罪利益豐厚勢必將持續不斷地變種,讓防毒引擎難以察覺,在MVISION Endpoint方案中即設計提供修復(Remediation)功能,運用檔案備份的方式,萬一遭受最新變種的加密勒索軟體感染,被加密過後的檔案可藉此機制自動回復。

保護Windows 10免遭零時差攻擊

▲McAfee台灣區總經理沈志明觀察,全球企業採用雲端服務的數量逐年增長,資安控管措施勢必得跟進。企業無法禁止員工私人採用來提升工作效率,因此仍須藉由CASB這類技術,幫助降低影子IT衍生的資安風險。
整體資安防護範疇相當廣泛,其中端點安全、入侵偵測防禦、網頁應用防火牆等,可說是多數企業必要的建置,用以事前防範、事中攔阻,但若欲建立調查、遏制、甚至是修復能力,就得仰仗EDR協助提升效率。

現代企業應用環境,終端裝置接觸威脅的管道較以往更多,儘管閘道端已建置多層防護技術,各個端點仍須有所防護。如今企業傾向於採用Windows 10作業系統的員工,即啟用內建提供的Defender防毒引擎,藉此建立基本保護措施,進而搭配輕量化設計的MVISION Endpoint補強零時差攻擊防禦力。

「當然資安問題本就無法達到百分之百,勢必會有更新的入侵手法得以成功迴避偵測,這正是本土企業對於EDR需求逐漸浮現的重要因素,除了本就具備的偵測機制,也開始關注事件發生後應具備調查與回應措施。」沈志明說。問題是,幾年前市場上出現新創公司設計的EDR工具,雖可搜集豐富日誌資料,卻欠缺專業且豐富的資安知識,可以有效率地抽絲剝繭產生正確的告警,讓企業用戶採取對策降低損害。

「過去EDR工具所面臨的挑戰正好是既有EPP的強項。」沈志明強調。McAfee的作法是在MVISION EDR平台中整合既有McAfee Investigator,應用人工智慧建立專家系統以縮短調查時間。他進一步說明,實作方式是資料統整到大數據平台後,基於既有的McAfee Behavioral Analytics(MAR)運行深度學習演算分析,針對使用者行為模式給予評分,一旦偏離過去的常態,同時相較於部門的同儕差異較大,即可合理判定為異常,提升進階威脅偵測與運作效率。

整合事件分析與調查持續改良資安弱項

在MVISION EDR的特性中,除了簡化部署模式、擴增資料搜集範圍以外,值得一提的是已支援美國非營利組織MITRE提出的ATT&CK(對抗策略、技巧和普遍常識)框架,以觸發識別高複雜度的攻擊威脅,並且是依照狙殺鏈,在各個活動階段中所執行的動作定義資料欄位,整個矩陣大約已涵蓋上百種不同技術,背後的目的性皆不同。

畢竟企業內部IT管理者或資安人員,主要工作並非追蹤各種入侵管道的最新攻擊手法,因此更加需要借力外部專業組織,提供最新且豐富的威脅情資及早辨識異常活動。沈志明指出,一旦發現可疑行為,抑或是已經進入事件處理與回應階段,可參考ATT&CK框架持續更新與整理的知識。

MITRE組織的資料來源之一為國際資安廠商所提供,McAfee也是其中成員,因此在MVISION EDR解決方案產出的調查報告格式,即遵循ATT&CK框架的定義,讓IT管理者或資安人員可藉此相互對照參考與學習,以不斷地改善資安弱點。

雲端與地端同步套用一致性控管政策

在McAfee的方案中,Investigator擁有的技術是運用自動化分析建置專家智慧,來判讀龐大的告警事件,縮短事件調查所需耗費的時間;MAR則會幫忙找到高風險的使用者行為。「如今則是兩者皆整合於MVISION EDR後再強化,對於分析與調查後產出的報告,設計以簡單易懂的方式呈現。」沈志明說。

企業要把自家內部技術人員欲培養成資安專家並不容易,透過MVISION EDR則可縮小差距,提升事件調查的效率。例如MVISION EDR若發現端點出現惡意程式,以紅色標註表示已確認,點選後可深入探究攻擊者是否利用PowerShell執行滲透程式。

若確定為惡意,就必須立即採取對策,執行隔離、停止執行緒、清除檔案等動作回應事件。萬一仍不免發生遭受滲透成功的事件,開始進入調查階段,由於IT基礎架構可蒐集取得的資料相當多元且關係複雜,勢必得藉由Investigator工具輔助來釐清。沈志明指出,其實蒐集大量的資料並不難,關鍵在於關聯分析與釐清最重要的威脅因子,Investigator不僅可滿足所需,同時設計以專家引導執行調查。不論是託管服務供應商(MSP)、系統整合商、企業內部IT人員,皆可藉由MVISION EDR輔助逐步地實作,提升事件調查與回應的效率。

至於整合收購Skyhigh旗下CASB技術推出的MVISION Cloud,主要著眼於雲端服務已是大勢所趨,有助於提升現代工作者協同工作效率。如此情況下,為了避免成為影子IT,必須藉由單一控管平台協助企業落實配置相關措施,MVISION Cloud即可實作配置不同公有雲平台的IaaS、SaaS控管政策。較特別的是,MVISION Cloud與自建的ePO可相互連動,針對機敏檔案的定義、分類標準、控管措施,維持地端與雲端的一致性。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!