Cyber Defense Readiness Assessment Endpoint Detection and Response Mandiant Intelligent Response Indicators of Compromise Compromise Assessment Incident Response Threat Analytic CounterTack FireEye HX Sandbox 資安事件回應 中芯數據 APT MIR IOC EDR IR

善用現代自動化工具 降低鑑識服務門檻

2016-01-08
相較於資安事件發生的頻率與規模,市場上能提供鑑識服務的專業人力卻明顯不足,供需失衡的狀況造成服務成本居高不下,卻也限制了台灣企業採用的意願。
代理CounterTack端點安全偵測回應(EDR)方案的中芯數據,便是著眼於此,設法進一步提供價位合理的資安事件應變服務。

「鑑識服務之所以在台灣始終無法蓬勃發展的主要因素是價格相當高,且實作上還必須蒐集一段時間的資料進行分析,」中芯數據資深資安顧問吳耿宏指出,自動化工具可說是專業人力得以服務降低成本的契機,至少蒐證或部分分析工作可仰賴工具輔助執行,才能讓鑑識服務的人天收費變得可被接受,且較以往更容易實作,真正發揮效用。

▲中芯數據資深資安顧問吳耿宏觀察,即使企業已遭受滲透攻擊,仍無法接受高額的鑑識費用,因此勢必要運用自動化工具協助,才能讓IR成為可被多數企業接受的服務。
中芯數據資安事件應變服務內容中,首先必須於端點佈建CounterTack Sentinel,而中芯數據亦針對本土企業環境擴充鑑識功能,吳耿宏舉例,由於Sentinel提供的操作介面較為複雜,對此中芯數據還自行研發視覺化系統,將複雜的分析過程簡化為客戶關心的資訊,只需連線登入查看即可,「其實鑑識工作無非是取得被滲透進入的時間、被利用的管道,以及究竟有多少主機被駭,如此一來,就有了災害評估的依據。」

吳耿宏進一步說明,Traces觸發的事件指標都含有專業意涵,例如在隱藏的Temp資料夾中有個執行檔被執行,即可能是可疑的行為。此筆記錄之所以值得深入查看,即在於正常程式通常不會被放置在隱藏資料夾內,且Temp是提供所有軟體工具暫時存放程式的位置,因此權限很低,自然會被駭客利用來存放惡意程式。

在檔案執行行為觸發Traces之後,會自動蒐集相關的行為資訊,資安技術人員只要查看後立即可進行判斷與處理。吳耿宏強調,其實諸如此類的判斷準則均為領域知識,對技術人員而言並非難以理解,資安專家應以開放的心態,分享所知所得,才能培養更多資安人才。

至於統一的分析平台則提供兩種作法。一種是對於擔心資料外流的企業可選擇內部自建Hadoop平台,成本較可負擔,最後產出的報告亦會明確指出在哪個端點、哪個位置、找到哪種惡意程式,企業用戶可透過控管平台直接予以刪除。另一種方式則是無須自建,完全交由中芯數據維運管理,「我們已經建置SOC中心,並且已取得ISO27001驗證,也是政府採購平台上合格的資安服務提供廠商之一。目前是建置在自家機房,之後也不排除會遷移至IDC。」吳耿宏說。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!