Threat Intelligence Threat Hunting ThreatSonar CounterTack 杜浦數位安全 Cisco IPaaS 威脅獵捕 中芯數據 主動式 IBM 資安

掌握檔案執行程序 排除正常凸顯異常

2018-07-20
著眼於企業普遍欠缺資安人力,中芯數據基於其代理的EDR(端點偵測與回應)解決方案CounterTack建置提供了內網威脅監控服務,近期更進一步推出意圖威脅即時鑑識服務(IPaaS),依據事件處理的理論基礎,採取機器學習演算分析技術,主動預測威脅意圖的行為模式,透過自動調查來釐清真相,以降低誤判率,有效地減少資安事件。
中芯數據資深資安顧問吳耿宏觀察,資安問題之所以始終難以控制,根本原因之一在於具備專業資安知識的人力不足,不僅難以清楚定義既有工作流程與IT基礎架構環境中必要的資安控管措施,即使由廠商提供差異性評估與建議改善作法,也往往難以判斷是否適用於自家環境,可能導入建置後才發現並非預期中的解決方案,結果資安事件仍舊持續不斷發生。

資料分析為輔解決問題交由專家判斷

近年來資安事件頻傳,凸顯出調查與鑑識服務的重要性,也許企業認知到,唯有由實戰經驗豐富的資安專家盡速釐清問題根源,補強漏洞或弱點,並且持續地監控,才得以避免惡意程式變種後再次滲透成功。

吳耿宏從實際協助客戶處理資安事件的經驗中發現,其實現今的防毒軟體等資安技術相當成熟,若攻擊者採用以往惡意程式的設計思維來發動滲透,被攔截的機率通常相當高。為了有效地迴避偵測,近年來主流的攻擊手法轉變成為盡可能利用正常程式來執行惡意活動,甚至是設計成接近正常程式運行模式,功能相當精簡,且平時不會主動執行,只有在攻擊活動時才會更新載入程式碼。


▲資安專業人力搭配合適的工具輔助,才可發揮實質效益,中芯數據以自家代理的解決方案為基礎提供安全管理服務,協助欠缺人力與工具的企業建立主動式防護。

面對這種刁鑽的手法,若連資安軟體都無法判定為未知型惡意程式,資安人員也未必可察覺,最簡單的方式,反而是找到作業系統中不應該出現的檔案,若使用者也不清楚檔案的用途,即可取樣進一步解析,以解析判斷是否為惡意。

「這種作法會比使用者行為分析(UBA)更加精準。」吳耿宏進一步說明,畢竟現階段人工智慧應用於資安領域還在早期發展階段,若蒐集取得的資料量足夠龐大,確實可訓練資料模型建立自主判斷能力,問題是人的習慣會改變,恐仍舊無法解決誤判過多的問題。對資安專家來說,現階段運用人工智慧的意義在於提升決策分析準確度,只要餵入足夠多的資料量,即可快速分析後指出需要進一步查看的項目,輔助專家顧問提升工作效率,而非企圖直接去解決問題。

主動調查可疑事件阻止資安事故發生

▲中芯數據資深資安顧問吳耿宏觀察,多數企業或組織發生資安事故時,尋求外部專家執行調查與鑑識後,只求回復正常運行,但是卻忽略了事後稽核的重要性,可能因此遺漏部分環節,降低資安事故透明度。
就資安風險控管的角度來看,吳耿宏認為,內部稽核與內控制度確實有效果,當攻擊者滲透入侵端點後,若輕易就能取得高權限帳密,即可快速地找到並竊取具有經濟價值的數位資產。設立嚴謹的內部稽核與內部控制,則可以延長攻擊成功所須耗費的時間。

「長期以來的資安觀念,大多是朝向疊高門檻來增加攻擊成本為主軸,迫使攻擊者放棄。問題是,一旦成功即可牟取巨額利益的機會,就算需要花費多年時間潛伏,攻擊者也不會輕易停止,這就是APT的特性,當攻擊者發現愈來愈多系統連接上網,有更多管道可獲取可觀的利益,勢必是不達目的不罷休。更嚴格的內部稽核與內部控制,抑或是縱深防禦架構,雖能延緩攻擊的橫向擴散速度,但仍必須在此期間有能力發現異常徵兆,才有機會阻止資安事件發生。主動式事件調查與鑑識,即扮演關鍵性的角色。」吳耿宏說。

現階段所謂的主動防護,不僅涵蓋既有資安偵測機制能辨識的已知型攻擊,還必須納入未知,得以及時地發現可疑之處並啟動調查與鑑識。中芯數據近期以代理的EDR方案CounterTack為基礎,自主發展的意圖威脅即時鑑識服務,便可依據攻擊者滲透入侵電腦後常見的安裝後門、提高權限等動作,判斷與預測其意圖,從而辨識惡意行為。

過濾正常行為資料凸顯可疑環節

許多企業採用SIEM平台蒐集主機與網路環境日誌檔案,進而加以關聯與規則式分析,發展至今已是相當成熟的技術。只是惡意攻擊程式的發動方式手法多變,尤其是端點環境,僅取得系統日誌已遠遠不夠,必須同時掌握執行緒活動記錄,才有能力精準地釐清與辨識惡意行為,這也是EDR方案近兩年迅速崛起的主要因素。

EDR最初被商品化的用意在於提升專業資安人員執行事件調查的效率,儘管部署位置與防毒軟體一致,用途卻大不相同,防毒軟體可自動運行偵測與阻斷,EDR卻需要有專人監看才可發揮效益。中芯數據運用CounterTack提供安全管理服務,讓專業資安顧問可完整掌握客戶端環境資訊,進而提出有效的建議。

吳耿宏進一步說明,近期持續演進的意圖威脅即時鑑識服務,適用於判別作業系統環境的異常行為,此機制屬於中芯數據所開發。其主要是基於CounterTack開放的API,直接整合運用現有的資料庫,建立黑白名單機制過濾執行程式,以便讓誤判率降到最低,同時也降低IT維運負擔。

「CounterTack對於系統效能影響很小,但可蒐集取得的日誌資料相當齊全,全部彙整到大數據平台集中保存,以便進行基本的資料分析,亦可透過API客製化更多進階式分析邏輯,主要是依據不同應用情境,設計交叉比對機制來篩選過濾正常的行為資料,藉此收斂與凸顯可疑的環節,客戶可藉由我們自行開發的儀表板呈現數據資訊來查閱。」吳耿宏說。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!