Threat Intelligence Exchange Data Exchange Layer Palo Alto Networks Check Point Symantec OpenDXL McAfee 聯合防禦 情資分享 縱深防禦 達友科技 DXL TIE 資安

開放溝通分享機制 協同第三方智慧聯防

2018-02-09
近年來以情資分享為基礎打造的聯合防禦架構,重要性與日俱增,畢竟單點保護機制無法涵蓋所有攻擊活動項目,自然得延伸戰線,不僅保護端點,同時聯合閘道端資安設備,全面抵禦刁鑽的資安威脅。
McAfee日前更進一步把自家設計的DXL(Data Exchange Layer)通訊協定開放至GitHub,成為OpenDXL開放原始碼專案,讓更多企業用戶得以透過Python函式庫,在開發階段即可整合McAfee TIE(Threat Intelligence Exchange)威脅情報交換平台來建立安全性機制。

McAfee台灣區總經理沈志明指出,大約三年前,McAfee旗下產品線即已改為透過DXL交換入侵指標(IOC)資料,不再採用API介接。當沙箱模擬分析取得IOC,即時經過TIE發布通知其他資安設備,即可藉此快速地建立新型態惡意程式的辨識能力,並且透過自調適防禦行動來阻斷執行。

「McAfee之所以特別開發出DXL通訊協定用來做情資交換,是著眼於現階段的端點、閘道端解決方案,雖大多有建立情資交換平台,但都較偏重於產品之間的連結,而非情資共享。McAfee設計的DXL則為情資交換平台,則讓不同廠商產品得以進行連結,透過分享彼此交流。」沈志明說。比如說Check Point SandBlast端點方案、Cisco開放的pxGrid機制,透過DXL溝通,只要合作廠商發布威脅情資,McAfee所有產品皆可同步接取。


▲ DXL通訊協定已成為OpenDXL開放原始碼專案項目,藉此加速擴展整合式聯防架構生態系。(資料來源:McAfee)

至於執行的強制政策,則可依據企業制定的控管措施設定執行。他舉例,在NAC領域的合作夥伴ForeScout,原本無法判斷執行程序的善惡,透過協同工作機制的建立,當McAfee ATD執行進階威脅分析時偵測到惡意檔案,即可藉由ForeScout執行攔檢,一旦發現隨即阻止該電腦的連網行為。

通訊協定溝通建立控管機制協同工作

資安領域的解決方案範疇相當廣,發展至今已是廠商各有擅長,多數企業規劃採購時又是以業界最優為首選,使得IT基礎架構通常皆由異質技術平台組成。然而如今企業面臨最大的挑戰,卻是不同廠商的方案之間無法溝通,更遑論協同工作,因此即便採用最先進的技術,也無法解決資安問題。

沈志明以遠銀遭駭盜轉事件為例說明,可能欠缺進階威脅偵測機制,導致惡意程式在內網潛伏期間,執行防毒引擎卸載卻未被發現。其實在主管機關強勢要求下,銀行業已是台灣資安政策與措施相對較為完善的產業,卻連續兩年因為駭客入侵造成損失,其中一項因素即在於缺乏可即時發現異常的監控機制。就算大型企業有足夠資源自建SIEM,仍必須搭配專業人力持續監看與分析,才得以發揮作用,而非僅執行搜集日誌與產出報表功能而已。

也就是說,就算駭客攻擊活動當下觸發告警,IT管理者也必須有能力快速掌握事件全貌、釐清問題癥結,這些過程現階段主要仰賴人工執行,除非有EDR(端點偵測與回應)方案輔助,才有機會阻止重大事故發生。

「多年來市場討論的資安建構方式,不外乎保護、偵測、矯正,三者持續循環,實務上卻不容易落實,往往單一廠商提供的解決方案彼此之間也僅是API介接方式整合,而非直接分享IOC。」沈志明說。畢竟API方式可能設定每隔一段時間執行撈取,常見的問題是API版本升級後,介接整合的程式碼也必須隨之調整,但許多企業在維持穩定運行的需求下往往沿用舊版。DXL通訊協定則本身就是為了情資的交換而設計,用以解決異質技術平台溝通的效率。例如假設Check Point沙箱模擬分析後發現為惡意檔案,若有分享情資機制,即使端點安裝的是McAfee方案,仍可立即同步接收取得入侵指標,自動建立聯防。

動態遏止追蹤未知檔案行為

▲ McAfee台灣區總經理沈志明認為,資安聯防的重要性與日俱增,畢竟單點防禦根本無法涵蓋所有攻擊活動,於是閘道端與終端的整合運行即成為重要基石,藉此擴展到全面防禦。
「以情報交換為核心,而非僅為產品之間的整合互動」,可說是McAfee發展聯合防禦的核心思維。在TIE威脅情報交換平台中,主要是透過DXL Broker負責執行端點、閘道端等溝通與傳遞資料,當McAfee ATD發布惡意Hash值時,可同步到端點、閘道端建立辨識能力,藉此執行攔阻。

TIE系統是McAfee設計的情資分享系統,包含來自GTI雲端服務的檔案、網頁、郵件信譽評等資料庫。若企業環境較單純,TIE系統可建置於虛擬主機環境,除非公司規模較大,才須考量分散式部署架構,以便彈性擴充,提供當地IT環境相同的情資。

就組成元件來看,Broker負責溝通,TIE負責收容資料,在端點執行檔案之前,會先行詢問TIE主機是否為已知,若經過TIE與雲端情資判定為未知,就必須採取較嚴格的策略,例如在端點環境中運用機器學習執行檢測。

「McAfee基於機器學習建立的機制有區分為靜態與動態,現階段市場上大多為靜態。」沈志明強調。靜態的實作法是透過大數據分析,仰仗的是資安廠商長期以來搜集累積的龐大樣本資料,歸納惡意行為屬性,藉此判定攻擊行為。靜態機器學習是近年來市場上新增的機制,也是目前具有機器學習的端點安全方案主要作法,在檔案開始執行前,先查看靜態屬性研判是否為可疑;傳統防毒軟體則不具備此功能。

就實務上來看,靜態機器學習不可能達到完整的攔阻之效,因為隨著攔阻等級調高,誤判率也會隨之上升,一旦端點防護方案無法判斷為惡意時,勢必還是得先允許未知檔案運作,接著在執行當下,背景同時進行動態機器學習,才能遏止惡意行動以確保生產力,並可即時分析行為找出藏匿的惡意程式。

當應用程式開始執行後,每新增一個執行程序、增添註冊機碼等動作,皆屬於該程式的行為特徵,可轉換成為Hash值後上傳到雲端平台分析比對。假設未知型檔案其實是勒索軟體,在開始執行加密時,動態遏止機制會持續地攔阻,同時也把該加密行為所產生的Hash上傳到雲端平台運行分析,若發現屬於某種加密勒索家族,隨即通知端點直接終止該檔案的執行。同時該筆情資會被更新到TIE系統,發布更新通知所有資安機制,轉換列為可逕行封鎖的已知型攻擊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!