專精自主研發郵件安全防護機制的中華數位,著眼於攻擊手法日趨複雜,端點防護(EPP)已成為必要的資安機制,去年(2023)引進國際知名的Cynet延伸式偵測與回應(XDR)技術,藉由端點部署的代理程式,可提供欺敵誘捕(Deception)、次世代防毒、端點/網路偵測與回應(EDR/NDR)、使用者行為分析(UBA)等多功能機制,適用於各種規模的企業或組織。
根據中華數位合作的垃圾訊息研究中心(ASRC)於2023年第三季發布的電子郵件安全報告統計指出,釣魚郵件依然是最常見的攻擊手段。這些郵件的主要目的在於騙取後續可利用的資訊。除了持續演變以規避偵測技術外,ASRC研究過程中也觀察到,釣魚郵件的發送者更專注於為特定目標量身打造,用以取得機敏資料,並且經過重新組合後可重複運用,甚至結合詐騙或偽造身分等更進一步的攻擊手法。
MITRE Engenuity評比一戰成名
郵件安全方案的部署是保護企業免受網路攻擊的關鍵一環。中華數位產品加值部副總經理張輝觀不諱言,傳統閘道端的郵件安全解決方案採特徵碼比對方式,難以有效偵測郵件內容中的惡意連結和附加檔案內潛藏的勒索軟體。若搭配沙箱技術,藉由隔離環境中實際執行檢查未知或可疑文件,則可增進傳統安全機制難以發現的未知型攻擊手法。對此,中華數位提供的Cynet 360 AutoXDR平台,便在偵測階段運用EDR、NDR、UBA、沙箱、欺敵誘捕、威脅獵捕等技術,提高識別威脅的準確度。並且針對識別發現的威脅觸發自動執行調查,揭示攻擊影響範圍、滲透成功的根本原因,以及提供可自動修復措施。
張輝觀進一步說明,Cynet是成立於2015年的以色列公司,由一群具有豐富資安顧問經驗的專家所創辦,基於攻擊者的角度,開發了以實際應用為導向的XDR方案。在2023年,Cynet更是在MITRE Engenuity舉辦的ATT&CK評估中取得了優異的成績。MITRE ATT&CK框架是一套廣泛認可的網路威脅模型與知識庫,旨在描述與分類跨階段的網路攻擊行為。MITRE Engenuity作為一個公正的第三方機構,其發布的評估報告成為了企業或組織在採購相關解決方案時的重要參考依據。
「市場上幾乎所有提供EDR(端點偵測與回應)技術的公司都宣稱其產品符合MITRE ATT&CK框架的標準。」張輝觀說。MITRE ATT&CK框架以APT(進階持續性威脅)攻擊的「狙殺鏈」為基礎,詳細描述了攻擊的不同階段所採用的手法、技巧與程序。2023年,MITRE Engenuity的評估報告主要針對模擬俄羅斯駭客組織Turla的攻擊行為,以此來測試各種端點防護解決方案的有效性。透過這次評估,Cynet不僅展現了其XDR解決方案在面對複雜網路攻擊時的防護能力,也奠定了其在資訊安全領域內的地位。
原廠提供MDR服務有保障
以EDR為基礎延伸到XDR,Cynet整合了使用者行為分析(UBA)、網路偵測與回應(NDR)、欺敵誘捕等多種機制,大幅提升了防範資料外洩的能力。張輝觀說明,XDR方案能夠蒐集全面的遙測資料,並將這些資料餵入分析引擎進行自動化調查,透過自定義的Playbook來執行修復措施。此類自動化修復不僅是當前的趨勢,而且其能力範疇涵蓋了手動、半自動至全自動,讓使用者可以根據具體的應用場景和控管需求來選擇合適的修復模式。
當資安機制偵測到事件並發出告警時,高誤報率經常導致資安人員出現「告警疲勞」狀況,恐影響資安維運中心(SOC)的效率與反應能力。Cynet發展的XDR方案憑藉其廣泛的監測範圍增強可視性,能夠有效降低誤報率,以減少資安人員的困擾。
Cynet不僅強化了其自動調查能力,同時也提供7×24託管式偵測與回應(MDR)服務。MDR服務包括告警監控、威脅獵捕、風險回應與資安態勢報告,有助於協助專業人力不足的企業或組織控管風險。
張輝觀強調,Cynet的MDR服務較特殊之處在於是由原廠直接提供,「也許有人會質疑Cynet在台灣並未設置技術支援團隊,但在雲端化的發展趨勢下,這並不構成問題。只要能有效解決客戶的安全問題,無論技術支援是本地化還是雲端化都不會影響服務品質。」
此外,許多國際知名的資安廠商在台灣推廣MDR服務時經常面臨的障礙是價格過於昂貴,其中一項因素也包括外商的人力成本較高。「對此,Cynet突破限制的方式是將人力成本整合進服務方案中,以更具競爭力的價格推向市場。可說是Cynet較其他同樣提供MDR服務的競爭對手更具優勢之處。」張輝觀說。
Cynet Correlator技術收集與關聯日誌
防禦機制持續不斷演進的同時,帶來的是IT人員需不斷攀爬的學習曲線,這不僅關乎技術能力的提升,更包含對新興資安威脅的有效識別與回應速度。在這方面,Cynet的解決方案因其直觀易懂的操作介面,將可協助IT及資安人員降低操作學習門檻。
對於高風險行為,Cynet採用了自動化回應機制,能夠在首次檢測到威脅時立即採取行動,並向IT或資安管理者發送告警通知。透過其圖形化的操作介面,維運人員可以一目了然的檢查告警事件,進而點選進入了解更多被標記為高風險的行為資訊。
針對高風險事件調查,主要是由Cynet Correlator技術,收集告警和活動產生的資料,並將其相互關聯,提供類似SIEM的功能。Cynet Correlator具備集中式日誌管理(Centralized Log Management)功能,可呈現Cynet從防火牆、端點及應用程式收集的相關日誌,並將之儲存以供事後調查和事件回應之用。
Cynet集中式日誌管理功能可用於快速且準確地揭示整個環境中的威脅。不僅可以識別威脅和異常,還提供直觀的分析和可視化工具,簡化了調查採證分析過程,藉此發現隱藏的攻擊元件。
至於地端資料收集方式,Cynet提供自建部署Logstash系統或Webhook方式。資料可透過https從企業內部網路傳輸至Cynet,並儲存在Open Distro資料湖中(由Elasticsearch提供)。從不同資安方案收集取得的資料,則是運用Kibana視覺化工具呈現。IT或資安人員可利用搜尋、多種過濾條件探究事件內容,或是增添個人化儀表板隨時掌握資安態勢。