儘管IT資源充足的企業會建立可搜集內網環境資料的機制,像是Log管理、SIEM平台,藉此整合關聯事件與分析,問題是產出的報告必須是經驗豐富的資安專家,才有能力從中發掘出異常,因此達友正在推廣重新看待端點安全防護的觀念,以降低人力門檻、預算可負擔為前提,運用新興技術工具提升資安等級。
近期除了台灣發生遠銀被駭盜轉帳事件,國際間資安領域亦不平靜,全球四大會計師事務所之一的Deloitte(德勤)全球郵件系統遭受滲透入侵,導致部分客戶資料外流。就連提供安全與風險控管顧問服務的國際級企業,也無法倖免遭受駭客組織突破盜取資料,因此引起各界高度關注。同樣在日前被揭露的美國三大消費者信用報告機構Equifax,則發生超過1.4億筆個人資料外洩,經過資安專家調查與鑑識後,確認被利用的漏洞為Apache Struts2,之後資訊長、安全長,甚至執行長皆相繼下台。
經過近兩年實際資安事件的震撼教育,達友科技副總經理林皇興觀察,台灣企業或組織確實已逐漸建立「無法完全避免被入侵」的觀念,甚至更積極地假設端點環境已被惡意程式潛伏,評估可盡早偵測發現的方法,以免釀成無法彌補的損害。
現階段企業或組織所面臨的端點防護困擾,包含缺乏可視化釐清入侵管道、防護機制影響系統運行效能、被入侵後只重灌無法杜絕後患等方面。「因此我們正在推廣重新看待端點安全防護的觀念,以減少人力負擔、預算可負擔為前提,運用新興技術工具提升資安等級。」林皇興說。
監看TTP取代特徵碼分析 辨識新威脅
重大資安事故的惡意攻擊通常會有一段潛伏期,林皇興指出,主要須掌握三個重要時間點,首先是遭到入侵,主要是由於端點保護措施失效,惡意程式才得以入侵成功;之後是發現攻擊活動,可能是經由次世代防火牆、網頁閘道器等偵測機制,解析網路封包內容發現連線到已知中繼站的行為,才讓攻擊活動曝光;最後是驅逐攻擊者,大多是由事件回應(IR)團隊執行調查與鑑識,再協助清除與復原遭變更或損害的檔案。
 |
| ▲ Carbon Black鑑識/事件處置方案基於大數據平台執行機器學習演算分析,讓攻擊流程以視覺化呈現,以直覺化操作介面進行互動調查。 |
端點保護之所以失效,林皇興觀察,從重大資安事件的分析報告中可發現,目前採用傳統特徵比對的偵測模式,在新變種惡意程式出現48小時內能成功辨識的機率不到三成。為因應利用未知型檔案、無檔案式等攻擊手法興起,除了傳統基於防毒引擎提供端點保護平台,國際資安市場上開始出現次世代防毒軟體(NGAV),達友科技代理的Carbon Black即屬於此類方案,以監控系統環境執行的各種活動取代特徵碼比對,包括啟動執行緒、程式碼載入記憶體等行為,是否符合攻擊者慣用的策略、技術和活動程序(TTP),為主要的辨識基礎,從中取得的入侵指標(IOC),最後納入EDR方案協助調查與鑑識。
基於TTP偵測攻擊而非仰賴特徵碼的方式,林皇興舉例,代理程式透過持續監看作業系統活動,包括檔案點選開啟當下系統、網路的輸出與輸入,偵測已知中繼站連線、監聽連接埠、中止其他程式執行緒、程式碼注入等行為,透過標籤定義這些攻擊手法執行偵查。通常需要大數據情資與資料科學家的技能,長期追蹤分析才有能力定義TTP。當然Carbon Black也是由內部的威脅研究團隊持續進行威脅獵捕(Threat Hunting),才得以把複雜的TTP活動資訊,濃縮不到200種,讓端點代理程式得以進行監看與評分。
事中回應、事後鑑識 控制風險並改善體質
 |
| ▲達友科技副總經理林皇興觀察,近兩年無檔案攻擊手法持續增加,在2016年達到過半數的死亡交叉,統計報告顯示,大約有六成攻擊採用的是無檔案手法,特別是APT攻擊活動,幾乎已成主流。 |
Carbon Black推出的解決方案包含次世代端點防護(Cb Defense)、鑑識/事件處置(Cb Response)、應用程式控制(Cb Protection),共用雲端威脅情資彙整平台,且皆可單獨部署。至於EDR的功能,在Cb Defense、Cb Response中皆有涵蓋;應用程式控制主要是運用傳統白名單機制實作,以往擔心配置白名單恐加重管理負擔,但是在未知型應用程式增長之下,反而被視為最簡單且有效降低風險的方法。其中,Cb Response可強化現有資安監控中心(SOC)、執行威脅獵捕,協助IR團隊提高工作效率,例如政府成立電腦資安事件應變團隊(CSIRT)即可適用。
國內企業或組織已使用SOC進行7×24小時監看,不論自建或委外,以往皆未涵蓋端點的鑑識,只著重在網路資安防護,面對攻擊手法的轉變,可採用Cb Response來補足端點方面的資訊;另一方面,亦可從眾多日誌記錄中快速地釐清資安事件最初感染源頭,以從中得知現行資安機制不足之處,持續不斷地改善防護力。CSIRT角色的重要任務,就是執行威脅獵捕,也就是需要更積極主動地挖出內網環境中潛藏的威脅,避免釀成資安事件。
就部署模式來看,Cb Response需要在內部建置一台伺服器介接雲端威脅情資彙整平台,端點則安裝輕量型代理程式,不會有過多判斷邏輯,持續性搜集取得的資料是交由伺服器來執行分析,才不致增添端點運算負擔,也因此可支援的技術平台較為廣泛,包含嵌入式、工業控制等系統。
蒐集完成的資料經過演算分析,以視覺化方式呈現攻擊手法與流程。不具備資安專業人力的企業,亦可透過統計分析報告查看威脅狀態。例如內部員工遭受感染加密勒索軟體,有可能是開啟郵件中的附加檔所導致,整個攻擊流程可透過關聯圖方式繪出,亦可點選圖示查看利用的漏洞名稱、惡意程式名稱、Hash值等細節,即使IT人員不具備資安專業知識,經過自動化工具分析過後,也可清楚釐清事件發生的始末,究竟是漏洞未修補抑或是員工警覺心不足所導致。
至於Cb Response提出的回應方式,首先是針對高風險端點,IT管理者可執行隔離,僅允許端點連線到統一控管伺服器系統,降低平行感染造成的災害;其次是即時互動反應,透過伺服器系統遠端執行端點的記憶體傾印(Dump)、Kill執行緒等指令;最後可列入黑名單,已確認為威脅活動的Hash值,藉此機制可直接阻擋,防止重複感染或擴散。