與此同時,資安市場上亦開始探討,APT攻擊活動必須通過狙殺鏈(Kill Chain)模型的七個階段才可成功,若得以先一步發現已遭到滲透入侵的事實,將有助於降低最終損失。於是資安市場上出現許多新創公司,專注於發展端點偵測與回應(EDR)工具,近年來以防毒引擎為基礎發展的端點安全防護(EPP)方案,亦開始擴展提供EDR的能力,詳細記錄端點的操作行為,並且分析比對餵入的最新威脅情資,藉此在攻擊活動初期先一步偵測發現,降低可能造成的損害。
然而實際導入EDR工具的企業卻發現,即便擁有先進的工具,若缺乏具備資安專業知識的技術人員,仍無法發揮作用,達到預期的目標。如此的情況下,再次驅動資安委外持續演進,國際間開始出現代管式偵測與回應(MDR)服務,運用EDR工具蒐集端點存放的記錄,彙整到MDR服務供應商的大數據平台,由資安專家監看與判斷可疑行徑,盡早發現並反制。
資安服務為發展歷程必然邏輯
就資安發展的歷程來看,趨勢科技大型企業客戶部業務協理楊肇謙觀察,邏輯上通常是先有產品出現,隨後才整合控管平台與委外代管服務。自從資安界定義出APT攻擊的概念,趨勢科技大約在2010年提出相關解決方案,當時國際知名的FireEye也進入台灣開始教育市場。其實APT攻擊手法存在已久,只是以往主要針對政府單位,市場上並未提出普遍可用的解決方案,隨著APT成為攻擊者慣用手法後,防禦相關解決方案紛紛採用沙箱技術來偵測未知型惡意程式。
事實上,早期的國家資通安全技術服務中心,即已基於沙箱技術來解析惡意程式,當時趨勢科技亦學習實作,藉此輔助郵件閘道器判斷已知與未知的檔案。楊肇謙進一步提到,只要郵件閘道器攔截到新型惡意樣本,立即回傳到趨勢科技解析取得特徵碼,再發布更新到各個企業內部自建的產品,增添防護能力。隨著APT攻擊持續地變化,資安市場陸續推出相關解決方案,沙箱技術被擴展運用到網頁安全閘道器。
他回顧,2016年開始,主流防護思維更演進到強調內部威脅(Insider Threat),訴求並非只在閘道端攔阻惡意攻擊,由於駭客一定會進入到內部,必須有能力發現惡意攻擊的活動行為。楊肇謙不諱言,因應內部威脅確實並不容易,趨勢科技開始意識到,若只是蒐集產品所產生的日誌、予以關聯分析監看與產出報表,不足以及時發現內部威脅活動。「我們認為,緊接著必須打造平台與相關服務,就如同SOC服務發展的邏輯,趨勢科技大約在2016年左右就已開始運用閘道端部署的APT解決方案執行監控服務,透過工具蒐集取得所有產品的日誌,進行關聯分析並產生出報表,去年(2018)才被Gartner歸類於新定義的MDR市場範疇。」楊肇謙說。
遠端持續監看識破合法掩護非法行為
現代攻擊活動經常利用正常存取行為來掩蓋,再者多數企業以為導入建置APT解決方案即可擁有防禦力,卻未曾料到部署建置後根本不懂如何操作發揮功用,因此才催生出MDR代管服務模式。比如說,攻擊者在內部橫向移動,也就是內部威脅,基本流程是先佔據一個端點,再進行擴散,然後竊取管理者帳密,取得權限後合法登入到關鍵系統存取重要資料回傳到中繼站,或者是破壞核心系統。這些行為個別拆分來看,實際上跟正常行為並無相異之處,典型的手法即是利用網路芳鄰探勘、傳遞惡意程式,如同正常存取行為模式。
過去大家認為新型態攻擊會利用變種程式來執行,所以只要偵測機制得以攔截從未見過的檔案,就可以有一定的效果。「實際上,這只是廠商銷售的話術,」楊肇謙強調,駭客本就慣用大部分企業內部資料交換的主要方法(網路芳鄰)傳遞攻擊程式,畢竟選用的擴散管道,勢必為多數企業內部一定會啟用的服務。
攻擊手法的轉變讓資安業者面臨相當大挑戰,儘管可完整記錄所有的操作行為,卻無法分辨正常或異常。「我們思考的邏輯是,企業內部已經導入建置資安設備、端點安全防護、EDR等產品,來偵測APT攻擊,但是APT解決方案與防毒軟體最大不同之處在於,APT解決方案不會判定是惡意或不是惡意,只會在報表中依照風險的高、中、低來排序,輔助IT管理者判別參考,以免造成過多的誤報影響使用者正常存取。」 因此可藉由資安專業人員持續性地監看,主動從偵測機制列出的中、低風險行為資訊中,透過威脅獵捕(Threat Hunting)先一步發現異常,進而深入調查,一旦確定是攻擊活動,則第一時間透過郵件發出告警,同時遠端執行問題處置,才得以識破正常行為掩蓋的攻擊意圖。
大數據蒐集與分析為專家提升判斷效率
過去本土企業對於資安意識相當薄弱,自從APT攻擊手法出現、許多企業接連遭受攻擊後,事件應變服務的需求隨之增加,問題是多數企業根本無力負擔昂貴的專業資安服務的人天費用,因此市場上開始出現採用EDR工具輔助IT人員處理入侵事件。中芯數據技術長吳耿宏觀察,許多企業導入建置工具後卻發現,若欠缺專業資安知識將仍然無法發揮效益,也因此,當時中芯數據決定首開本土資安市場風氣,採取代理EDR工具來提供資安服務的方式,也就是Gartner新定義的MDR服務。
能否運用EDR達到主動發現的速度,除了取決於大數據分析平台的實作,還必須擁有資安專業知識。大數據分析平台主要是協助專業資安人力提高工作效率。在日常應用場域環境中,大約九成的存取行為能夠直接被判斷為正常,例如具備作業系統簽章的檔案可先行排除,剩下一成無法判斷時,再基於威脅情資,運用機器學習演算技術實作,來提高判斷程度。「我們希望把判斷模型訓練到更精準,在事件發生當下,讓專家系統直接判斷可疑程度,而且足夠精準。」吳耿宏強調。
其實沙箱技術亦可落實此概念,問題是準確度不如預期。運用專家系統則可透過演算分析大數據,進而判斷出可疑的環節,此時資安技術人員只要簡單回答問題,即可藉此大幅提高事件調查的效率。資安領域運用人工智慧,主要是輔助專家判斷與決策,必須由專精事件調查與處理的技術人員對系統進行訓練,才可建立出足夠精準的資料分析模型。
【專題報導】:MDR委外偵搜 阻敵於未遂