Endpoint Detection and Response Endpoint Protection Platform Trend Micro Symantec McAfee Sophos EDR EPP

降低事件調查與回應門檻 完整提升產業防禦力

2019-02-11
現代企業借助新興資訊科技開創數位商機的同時,暗網(Dark Web)產業鏈也同樣持續發展,儘管資安領域已廣泛地應用人工智慧輔助全面偵查,以破壞攻擊活動的完整流程,但仍難以遏止攻擊者為了謀取利益不斷地變換策略與技術來迴避偵測,使得企業與資安技術供應商皆面臨相當大的挑戰。
日前趨勢科技發布的2019年資安年度預測報告中指出,針對網路安全威脅與網路犯罪攻擊趨勢,企業有三大不得不防範的重點,包括憑證資料外洩遭盜用恐助長詐騙事件增長、網路釣魚攻擊手法將取代漏洞攻擊套件,以及工控系統的安全威脅持續加劇。

趨勢科技臺灣區暨香港區總經理洪偉淦指出,回顧2018年資安事故仍舊持續衝擊各產業,即便是眾所矚目的歐盟GDPR(一般資料保護法)正式實施,全球資料外洩事件不僅未消停,反而有愈演愈烈的趨勢,包含社交媒體網站、航空業、國際連鎖飯店等知名業者,皆在近期內陸續爆發。洪偉淦推測,或許是過去企業發生資安事故時通常秘而不宣,國際法規上路後必須符合通報原則才開始揭露。此現象亦可反映出資安事件發生的頻率之高,實際上並非僅有指標型國際企業受駭。例如新聞媒體大篇幅報導台灣高科技製造業龍頭工控系統遭病毒感染事件,事實上未曝光的資安事件更多。

「我們發現台灣已有許多製造業陸續遭受攻擊,但並非僅為病毒感染破壞產線,更多是遭針對性勒索,藉由入侵控制工廠環境中重要的資訊系統來要求贖金。」洪偉淦說。若從正面積極的角度來看,此現象亦反映出台灣多數的製造業正逐漸轉型為智慧工廠,探討多年的物聯網、人工智慧、自動化機器人等應用已經逐漸發酵,需要讓以往封閉的環境接取網路,才會開啟外部威脅入侵的管道。只是如此一來,資安問題範疇也將從IT領域擴展到OT(操作技術)環境,任何有能力接取網路服務的裝置皆潛藏威脅,資安問題亦將無所不在。

控制合法管道針對性勒索

身為資安技術供應商,洪偉淦不諱言,即使趨勢科技在資安領域已經邁入第30年,練就深厚的領域知識,面對近年來企業IT環境巨變,仍難免遭遇挑戰。過去企業IT環境尚有標準可依循,一旦進入到萬物連網之後,較以往熟知的環境差距極大,各式各樣異質應用環境都必須涉及,才有能力提出合適的解決方案。當然,這絕非僅靠單一廠商之力即可達成,因此趨勢科技積極地嘗試跨業整合,藉此結合產業專家共同打造出合適的解決方案。例如攜手晶睿通訊於網路攝影機內建安全機制,以及與工業通訊網路技術公司Moxa合資成立TXOne Networks,共同發展工業物聯網環境的防禦機制,諸如此類跨界合作模式,來協助各種類型的產業在數位轉型過程中亦可保障安全性。

資安攻擊不僅難以遏制,且持續吸引犯罪者投入鑽研的重要關鍵不外乎非法獲利豐厚。根據最新發布的《SophosLabs 2019年網路威脅報告》統計,相較於CryptoLocker、WannaCry等無差別攻擊的勒索軟體,針對性的攻擊模式獲利更高。其中尤以中大型企業為標的發動的SamSam勒索軟體,SophosLabs研究人員於2018年6月首次發布追蹤數據,僅兩年半的時間,攻擊者利用SamSam已成功地向受害者勒索600萬美元,累計到12月則已超過650萬美元。

其手法是暴力破解IT管理者日常維運所需的遠端桌面協定(RDP),成功登入後藉由Mimikatz等工具側錄系統管理員登入網域控制站的認證,此後即可合法地橫向移動探查更多有利可圖的系統,再大規模地執行惡意加密,迫使受駭企業支付贖金。

駭客利用作業系統中常見的合法管理工具例如PowerShell執行滲透,以迴避防禦措施偵測,亦為近年來相當常見的手法之一,此手法統稱為「離地攻擊(Living off the Land)」技術。

SophosLabs威脅報告中說明,攻擊者初期大多先發送惡意JavaScript,運行呼叫wscript.exe後再下載自訂的PowerShell惡意指令碼,即便是系統管理者也難以辨認究竟是正常的控管政策操作,抑或是惡意程式的異常行為。

整合方案補強缺口提升資安成熟度

為了因應外部攻擊威脅的策略與手法變化速度加快,以防毒軟體為核心的端點防護平台(EPP)解決方案,即可用於偵測攔阻夾帶惡意程式的文件或執行檔,以及落實企業資安管理措施,近年來業者更接連透過整併方式向閘道端防線延伸,進而搭配沙箱技術、雲端威脅情資平台,建立聯合防禦體系共同抵禦。

只是隨著終端裝置接觸威脅的管道變多,遭受攻擊的頻率不僅變高,且更趨複雜,萬一遭受如同前述的離地攻擊,多數企業既有的防護架構往往無力得知,直到關鍵系統遭加密、資料外洩事件爆發後,才驚覺事態嚴重。資源充足的大型企業通常有能力聘請外部資安事件回應(IR)專家協助調查與處置,這也是近幾年資安服務盛行的驅動力之一;同時也造就端點偵測與回應(EDR)市場的興起。

Sophos亞太區及日本區技術方案高級總監韋頌修說明,由於現代攻擊活動複雜度過高,即便端點防護引擎偵測到威脅立即觸發告警並執行攔阻,IT管理者也無法確認企業內部安全無虞,但欲進一步深入分析該資安事件發生的始末,往往必須先蒐集各個環節產生的資訊,集中在大數據平台運行關聯性分析,再經由資安專家解析與判讀,才能釐清根源性問題,進而提出回應策略,以改善整體資安防禦能力。因此市場上多年前就已開始出現EDR自動化工具,用以補強資安人力缺口與降低調查成本。

EDR設計的目的是當企業發生資安事故時,必須要在最短的時間內掌握所有相關資訊,才得以進行下一步調查與回應。趨勢科技大型企業客戶產品暨解決方案群協理李救煌指出,企業內部之所以發生資安事故,即表示工作流程中有環節疏漏,讓外部攻擊有機可趁,歸納原因,多數是可視化能力不足,導致已被滲透成功仍不自知。

「這可說是IT管理者的致命傷。」李救煌強調。因此EDR方案設計的概念,是著眼於偵測時間(Time-to-detection,TTD)與回應時間(Time-to-response,TTR)兩項指標,經過調查問題發生的真相,以精準地修改控管政策方式執行回應。

近來EPP解決方案開始陸續增添EDR能力,韋頌修觀察,除了讓企業毋須搭配SIEM平台運行關聯式分析,更重要的是,IT管理者對於端點環境中額外再部署更多供應商的代理程式有所疑慮,唯恐影響運行效能。李救煌亦認為,藉由單一引擎提供多重防護機制,以降低IT管理複雜度可說相當重要。當自動化工具日漸成熟後,專業技能的需求程度隨之降低,屆時成為普遍可應用的模式時,才得以顯著提升企業整體資安的成熟度。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!