基於自家代理的EDR解決方案來打造並提供委外資安服務(MSS)的中芯數據,早在Gartner尚未定義託管式偵測及回應(MDR)市場分類之前,即已看重資安事件回應的重要性。借助CounterTack的技術與架構特性,不僅詳盡地記錄端點所有行為,並且蒐集至大數據分析平台以快速地回應資安威脅,正是中芯數據提供的意圖威脅即時鑑識服務較大的優勢。
中芯數據技術長吳耿宏舉例,假設內部用戶點選開啟附加檔案,同時在攻擊手法經常利用的資料夾內增添了檔案,該動作會被CounterTack監看程式所發現,一旦出現此狀況,當下立即進行分析,約30分鐘左右即可指出電腦名稱、用戶帳號、開啟的檔案、執行的惡意行為等資訊,隔天即可提供客戶完整的調查報告。
眾所皆知,資安防護不可能達到百分之百,即便導入建置各式防護技術,仍難以避免軟體、硬體、工作流程中潛藏漏洞,讓攻擊者得以繞過告警措施,成功地滲透進入。以往業界所談的資安事件回應,通常指的是回復正常運行與改善修正被攻擊者利用的漏洞,屬於被動地回應;中芯數據設計提供的意圖威脅即時鑑識服務,關鍵則在於化被動為主動,在駭客尚未滲透成功前,讓當下的控管措施發揮抵禦作用。
嚴密監控存取行為及時調查可疑行徑
從許多實際發生的重大資安事件可發現,攻擊者主要採以APT手法逐步達到目的,這通常需要一段潛伏期,來尋找可達到最大利益的攻擊標的。每起攻擊活動中可能成為駭客標的的關鍵任務系統皆不同,以近兩年興起的物聯網為例,連網裝置通常是為了因應特殊應用自行設計硬體與軟體架構,通用型的防護機制恐無法抵禦攻擊,因此最普遍的做法常是選擇在網路層進行隔離。
事實上,資安防護部署模式本就要依據應用情境而有所不同。舉例來說,攻擊者若要滲透單一台網路監視器,勢必得先滲透進入內網,但既然都已經成功到達內網,攻佔監控伺服器的效益還要更高。因此雖然網路攝影機的作業系統無法安裝代理程式,但將EDR機制部署在伺服器系統,亦可達到相當功效。畢竟物聯網應用場域中的裝置,大多是基於嵌入式系統客製化開發,以符合應用場域所需,針對這類型的系統,駭客投入研究的成本,倒不如滲透到控管場域的網頁應用伺服器反而更具成本效益。
現階段多數的物聯網場域,大部分單一控管系統不會直接接取網路,因此可能的攻擊點首要是網路邊界,其次是可收取社交工程郵件的主機,這也正是既有資安廠商可發揮之處。「我們可以很有信心地說,只要採用MDR,要再次重演ATM吐鈔盜領事件可說微乎其微。」吳耿宏強調。或許監控服務未能在第一時間掌握針對性攻擊,但在即時蒐集端點資料並比對解析的監控服務下,勢必可及早發現惡意行為。擁有鑑識方面的知識,即代表有能力追蹤攻擊行為,只是過去作法是事件爆發後才蒐集日誌進行還原,意圖威脅即時鑑識服務則是隨時監看與調查惡意行為,兩者採用的技術細節皆一致,差別在事前攔阻與事後蒐集分析。
EDR蒐集與解析在地化情資
目前許多台灣企業普遍採用的SOC服務,其中亦包含資安事件處理,亦即當企業發現內部遭受攻擊入侵,進而提出需求時,SOC服務供應商會派工程師到場支援,然而並非主動式回應。如今MDR概念興起,中芯數據的意圖威脅即時鑑識服務項目,雖然過去稱為內網威脅監控服務(APT SOC),表面上看都是SOC,但合約中定義的SLA等級卻是關鍵差異。
「MDR較以往資安監控服務更著重回應,發現企業端環境有異常行為活動時,可在30分鐘之內透過郵件通知,而不是等到惡意程式已經內部擴散之後,才進行補救與回復。畢竟對抗攻擊活動,必須要跟駭客搶時間,因為單純仰賴工具,根本無法達到百分之百的偵測率。」吳耿宏說。
因此MDR可說是MSS的演進,實際上,在Gartner尚未定義MDR市場時,中芯數據提供的資安服務即是從事件調查與回應切入,採用自家代理的CounterTack來提供服務。資安市場上最早基於EDR技術提供服務的可說是CrowdStrike,吳耿宏進一步指出,「但是就我在2014年就已接觸過多家原廠的經驗,CrowdStrike對台灣市場較不重視,況且蒐集的資料必須上傳到境外資料中心,多數企業至今仍無法接受,因此當時選擇引進另一家產品設計理念相似的CounterTack,建置成為資安服務的基礎平台,不僅客戶端蒐集的資料可保留在本地端,關鍵的情資分析,亦是由中芯數據自家的資安團隊來執行,可掌握更多在地化的情資幫助更多客戶。」
完整掌握端點活動大數據分析主動出擊
就技術層面來看,MDR較過去幾年市場上興起的資安事件回應(IR)並無差別,蒐集的資料與分析方法論皆一致,吳耿宏強調,關鍵在於IR服務為被動回應,MDR則為主動出擊。
隨著本土產業接連爆發的駭客攻擊事件,如今對於資安回應的要求更講究在短時間內得以發現,畢竟現階段各個產業都積極發展數位化商業模式,未來的資安情勢只會更加嚴峻。吳耿宏從實際採用的客戶觀察,就連資安業界公認通常只考量可用性的國內旅遊業者,如今也令人意外地開始採用意圖威脅即時鑑識服務,而且還是針對原本IT人員最排斥異動的伺服器系統上安裝代理程式,足以顯見本土資安思維正在往進步的方向發展。
中芯數據技術長吳耿宏認為,資安市場競爭日漸白熱化,為了達到銷售目的,廠商必須擴展自家方案的能力,但是卻脫離了初期設計可解決問題的範疇,當企業導入建置後逐漸發現不如預期,如此情況下,交給委外服務廠商代管不失為解決困境的方式。
採用意圖威脅即時鑑識服務的客戶在部署代理程式後,中芯數據便可隨時掌握其端點所有資料,彙整到大數據平台,運用自動化機制執行監看與處理,這也是得以在短時間內快速回應的重要關鍵。除非發現無法判讀的資安事件,才需要人力介入詳細調查,一旦再次出現,即可立即回應。
掌握端點詳盡活動行為,不僅有助於縮短資安事件回應效率,中芯數據接下來正在發展的是協同提供SOC服務的合作夥伴整合運行。吳耿宏不諱言,畢竟代理程式不可能做到支援所有作業系統版本,此時閘道端資安設備即可發揮作用,若經過分析後發現是從未出現過的攻擊手法,必須在防火牆中增添規則,即可攜手合作夥伴共同打造的聯防體系來執行,藉此降低可能造成的損害。
【專題報導】:MDR委外偵搜 阻敵於未遂