數位化應用模式興起推動各產業邁向轉型的道路,就算是解決方案供應商也不例外。日前趨勢科技在慶祝成立30周年的同時,提出「全視界(One Vision)」新願景,首先實踐的是重新定義端點防護方案Apex One,在同一引擎中整合威脅偵測(EPP)、事件調查與回應(EDR)機制。
趨勢科技大型企業客戶產品暨解決方案群協理李救煌指出,必須先釐清的觀念是EPP與EDR為兩種不同技術與目的性的解決方案。後者偵測機制並非針對已知型病毒,而是在企業發生資安事故時,必須在最短的時間內偵查所有相關資料,以判斷回應執行策略。通常會經過三個階段,首先是先行調整控管政策措施,降低損害;其次是進入事件調查程序,找到問題的根本原因;最後是提出改善的做法。
「EDR的主要精神在資安事故發生後,協助IT管理者提出檢討報告與改善作法。」李救煌強調。如今趨勢科技最新提出的Apex One端點防護,也整合了EDR,主要原因在於基於單一引擎即可提供防毒、應用程式控管、資料外洩防護等多重機制,可有效降低IT維運管理的負擔。
XDR擴大端點防護範圍
|
▲趨勢科技大型企業客戶產品暨解決方案群協理李救煌說明,自動化工具的價值在於呈現各個狙殺鏈的相關資訊,並且在拓樸圖上利用顏色來區分等級,讓IT管理者明白優先處理的事件,透過工具視窗輔助執行。 |
眾所周知,EDR市場已發展多年,只是關注的企業或組織通常IT規模較大,至於中小企業的IT人員多數無暇顧及,抑或是根本未配置專屬技術人力,因此EDR方案的用戶較偏重於少數擁有預算與專業技能的大型組織。
問題是全球企業或組織面臨資安人才短缺,恐難以在短時間內被解決,針對此狀況,趨勢科技於2018年年初開始提供MDR服務,補強人力不足的缺口。畢竟資安事件調查工作,現階段仍需要具備實力的專家來執行判斷。
除了透過資安服務協助客戶解決人力的問題,趨勢科技同時持續研發強化解決方案,運用自動化機制來處理多數日常工作,操作介面亦可讓IT人員快速地上手,毋須專業資安背景也可懂得操作事件調查與回應。
儘管近年來資訊科技技術發展飛快,至今仍有95%的攻擊是利用郵件來發送,甚至是主流的無檔案式攻擊,同樣也是在釣魚郵件中夾帶惡意連結,誘使收件者點選後,透過瀏覽器發出連線請求,實際上卻是下載惡意Payload。前述的滲透過程涉及郵件、網頁、端點的多元安全保護措施,正是趨勢科技規畫Apex One端點防護發展的重要方向。
「Apex One重新定義的端點防護領域,市場上亦有稱之為XDR,意思是,只要具備連網能力的裝置,皆屬於Endpoint Sensor,不只是辦公室電腦而已。此外,XDR亦強調新世代的偵測模式,須納入郵件、網頁等應用場景。」
XDR設計的目的,首先是藉此建立端到端的可視化能力,進而執行回應;其次是不同技術平台彼此間可建立關聯性,以降低告警次數。例如,端點安全可能觸發超過20個告警,若得以進一步跟內部其他環節產生的日誌相互關聯分析,有機會收斂告警數量,僅顯示導致問題發生的根本原因資訊,並依據優先處理順序排列,讓IT管理者有所依循。當然,此機制必須得仰仗人工智慧與機器學習來實作。首先掌握組織內部正常行為模式,其次是統整告警與排列優先順序,藉由自動化工具補強IT管理者普遍缺乏的資安專業技能。
雲端統合資料與分析 建立主動回應措施
在IT基礎架構中各個環節,皆可扮演感知器的角色,蒐集取得資料後統一存放在資料湖、資料倉儲環境,再運用大數據分析處理,同時持續不斷地以機器學習解析外部攻擊威脅的知識,才得以撰寫出資料演算模型,從眾多告警事件中判斷重要性。
李救煌認為,往後探討的EDR機制,勢必是建置在雲端平台之上。主要因素在於不僅蒐集的資料量過於龐大,使得自建相當不具成本效益,同時還得有一座昂貴的資料倉儲系統,建置與日後維運成本恐讓多數企業望之卻步,若架構在成熟的AWS、Azure等公有雲平台之上提供服務,即可大幅降低門檻。深受法規控管的產業或許暫時無法全面採用,但未來幾年勢必無法避免採用以雲端服務方式提供的解決方案。而且趨勢科技實作方式並非整個檔案上傳到雲端平台解析,主要是基於Metadata先行分析比對,除非端點環境被觸發告警,才會收取樣本檔案以便於著手進行事件調查。
自動化工具主要目的在於簡化執行威脅獵捕所需的技能,並且設計以拓樸圖方式呈現威脅活動狀態,分顏色標註區別出嚴重等級,提供非資安專家也得以直覺地進行事件調查。
「這是我們目前已經做到的根本原因分析(RCA),用以呈現狙殺鏈活動資訊。」李救煌說。一旦發生資安事件時,經由根本原因分析找到狙殺鏈最源頭的惡意郵件,為了確認影響範圍,可藉由郵件安全防護機制協助查找該惡意郵件發送的對象,進而在用戶尚未點選開啟前先執行刪除,以降低損害。
以往未整合郵件安全防護機制時,必須等到使用者點選執行惡意郵件附件檔或連結,EPP才得以偵測發現。如今的資安發展趨勢是化被動為主動,整合郵件安全平台之後,發現為惡意時可即時觸發控管措施。並且檢查內部是否還有類似的狀況發生,藉此達到主動式回應。
李救煌指出,現階段趨勢科技正積極研發的是基於雲端平台提供單一入口網,以彙整與解析不同解決方案所產生的資料,預計2019年稍晚即可問市。其實趨勢科技的資安解決方案相當齊全,EPP、郵件安全、入侵防禦偵測等技術,皆可搭配SPN(Smart Protection Network)雲端威脅情資,只是欲發展新世代的解決方案之前,內部必須先行整合,畢竟多個產品研發單位可運用的資源與工作優先順序不盡相同,因此日前由趨勢科技執行長暨共同創辦人陳怡樺宣布未來十年的新願景:全視界,以統整內部資源創造新價值。
此外,單一入口網服務亦可整合異質平台,例如呼叫取回路由器、交換器等設備資料,掌握更完整的異常行為路徑。至於整合方式,大致是以REST API介接為主要方向,支援國際開放標準STIX/TAXII、SIEM APP等格式。針對資安事件回應機制,美國國家安全局(NSA)主導研發的OpenC2項目,如今已成為OASIS國際標準組織,趨勢科技亦有參與,共同推展異質技術平台上採用標準化指令執行的實作方法。在下一階段發展的整合架構中,也會納入支援,透過API介接呼叫,建立即時回應機制以降低入侵風險。