早期即進入台灣市場宣導APT攻擊危害的FireEye,針對MDR服務興起所提供的FireEye Managed Defense,主要偏重於代管,以遠端方式協助客戶處理問題;若事態嚴重需要派人到場協助,則屬於Mandiant專業服務範疇,兩種分屬不同的資安服務模式。
MDR服務的特性,是讓供應商得以蒐集與彙整所有內部網路的資料,以便進行大數據解析來偵查問題點,但FireEye台灣區大中華區首席技術顧問蕭松瀛不諱言,台灣企業對於內部機敏資料遞送到境外的接受度仍未有所突破,因此過去兩年FireEye並未在台灣大力推廣Managed Defense服務。不過,MDR服務確實是短時間內強化資安防護力最有效的方式,只是要偕同在地的合作夥伴共同發展,藉此讓企業或組織符合資料不得存放於境外的規範。基於Managed Defense來提供MDR服務的合作夥伴,勢必得先對操作工具擁有足夠的知識,以及熟悉的操作技巧,才能發揮工具強項讓資安服務更具競爭力。
EDR工具補足資安監控盲點
眾所皆知,專業人力不足是眼下企業資安最大的困境,必須得經過一段時間培養、累積才得以擁有資安專才。但即使委外,台灣早期提供資安服務的SOC與MSS供應商,也較偏重於日誌資料的蒐集與關聯式分析,除非簽署的合約上有規範服務供應商必須派專人到場處理,否則大多僅為遠端監控與提出告警通知。
如今演進到MDR則是更進一步,不僅只有資安設備層的資料,同時也納入電腦作業系統的活動狀態,當資安設備配置的控管措施被觸發告警事件當下,MDR服務會先運用EDR工具來執行蒐集所有端點的日誌,理論上可精準找到事發當下的記錄,例如非上班時間觸發存取行為的告警通知,可查詢當時的操作指令與執行程序。
事實上,MDR服務中採用的EDR工具,本身亦可在網路觸發告警以前檢測發現異常。過去資安服務著重於蒐集網路層的資料,往往僅能掌握整起攻擊活動中的一部分,無法還原全貌,必須得搭配終端部署EDR工具,才得以完整掌握甚至提早發現惡意滲透行為。先由SIEM對日誌檔案進行關聯分析,釐清初始發生問題的電腦,之後就必須交給EDR工具來解析執行程序的行為,此為基於實際記錄的資料解讀,而非僅憑經驗判斷與推論,包含駭客竊取的高權限帳號與密碼、執行的指令,全數細節都可還原呈現。就如同把事後調查與鑑識的操作執行步驟,設計成為工具輔助,提升MDR服務的資安專家判讀效率。
事前完整記錄以便追蹤惡意軌跡
SIEM平台對於網管人員而言可協助找到問題的根本原因,也就是終端裝置。蕭松瀛舉例,平時協助客戶解決問題,採用的是FireEye HX系列的端點防護技術查找問題根本原因,追蹤來源IP位址只是基本的項目之一,還必須追蹤觸發CallBack連線,釐清後在網路層自動執行攔阻。然而有些客戶,網路可能只看到一個CallBack,但若從電腦作業系統中蒐集取得完整資訊後,可發現攻擊者最初已成功滲透進入的手法,儘管並未觸發任何中繼站連線而是呈現隱匿狀態,HX系列仍舊可記錄系統中每筆執行程序的行為。「所謂『根本原因』,也就是曾經運用的手法、操作的行為,都可以完整掌握。」
EDR處理資安事件經常會遇到無檔案式攻擊手法,由駭客遠端直接下達指令執行動作,這類型的攻擊就不是檢查惡意程式可以發現,而是必須基於戰術、技術與流程(TTP)或威脅入侵指標,來還原整起攻擊活動;此情況下惡意程式只是整起活動中的階段任務,可能使用過後立即被抹除而無從發現。典型的案例即是永恆之藍(EternalBlue)漏洞入侵,事實上,攻擊者是利用作業系統內建的標準服務來執行,根本不需要惡意程式碼的載體,即可做到新建帳號、下指令掛載另一台主機的磁碟機等動作。
對於此類的攻擊手法,僅採以EDR工具來監看不足以精準判別,必須透過蒐集完整的正常與異常行為記錄,再交由MDR服務資安團隊介入查看。即便是網路層先偵測發現攻擊威脅,或是直接觸發入侵防禦系統發出告警,但端點環境的防毒引擎卻並未顯示有異常,此時仍可藉由MDR專業資安人員,運用EDR的完整記錄來解析,不論是基於使用者行為分析(UBA)功能、機器學習演算模型等實作,重點是事前必須完整記錄,才可從中擷取證據與釐清活動軌跡。
專人判斷可疑行為杜絕合法掩護非法活動
基於因應APT攻擊鏈發展而出的MITRE ATT&CK資安框架,其橫軸是狙殺鏈的階段,縱軸則是已被發現的手法,經過資料蒐集與整理歸納列成矩陣,資安技術供應商通常會採用該矩陣來實際驗證狙殺鏈可掌握的程度。在此之前企業或組織必須先接受資安無法達到百分之百的觀念,才會需要MDR服務來輔助。
「多數的企業相當在意防禦力,偵測到異常行為時必須即時發出告警,這種需求應該部署的是完整EPP解決方案,運用人工智慧演算技術輔助提高偵測;若是不論安全錯施再完善,仍舊會擔心出現漏洞,懷疑電腦有問題的IT管理者,則可採用EDR協助,探討的面向並非是防禦,因為不可能所有具備風險的存取行為都觸發告警,比如說,偵測到攻擊行為時,不可能每個步驟都觸發告警,但是可記錄所有細節資料。」蕭松瀛說。因此欲掌握內網行為資料,同時亦需要從中偵測攻擊行為,若欠缺專業人力來監控,極可能向外求援,採用廠商提供的服務,MDR即是選項之一。
FireEye台灣區大中華區首席技術顧問蕭松瀛指出,許多人對於MDR的回應有所誤解,以為可在偵測發現異常當下立即阻斷執行緒。其實MDR的回應機制,是在攔截到橫向移動惡意程式樣本後,才進入矯正,也就是解析檔案後發現為惡意,才進行隔離、告警等回應。
儘管過去的SOC服務並未涉及端點活動的資料蒐集,因應攻擊手法複雜度變換莫測,勢必也須補足最後一哩路的盲點,甚至是整合MDR來提供完整的服務。以FireEye Helix平台為例,本就具備事件關聯分析能力,但是無法追蹤來源IP位址,這方面即可運用EDR工具來補強,這也正是目前國內SOC服務供應商發展的方向。
至於Managed Defence,可在EDR觸發告警當下,由專業資安人力介入執行判斷是否為真異常,例如攻擊者在橫向移動階段時,經常利用遠端桌面登入並執行正常的指令,若單純只看此操作行為就攔阻,誤判的可能性極高,必須參考前、後的行為記錄,現階段多數還是得仰仗專業人力才得以精準判讀,也正是MDR可發揮之處。
【專題報導】:MDR委外偵搜 阻敵於未遂