雲平台廣察全方位動靜 威脅情資建模掌握風險

2021-09-03
因應外部威脅滲透手法不斷翻新,資安技術廠商莫不借助機器學習模型分析來辨識異常活動,進而動態調整防禦手段,破壞駭客攻擊流程。

 

日前趨勢科技新發布的Trend Micro Vision One多層式偵測及回應(XDR)平台,彙集旗下Apex One、Cloud One、Cloud App Security、Deep Discovery、Web Security等不同產品產生的日誌,餵入到Data Lake進行事件關聯,以集中化風險可視性與告警緊急順序,加快偵測及回應速度。

趨勢科技資深技術顧問吳宗霖說明,趨勢科技設計的XDR,首要特點是多管道資料來源,涵蓋端點、伺服器、雲端、郵件、網路,接下來還會再納入行動裝置。在資安領域發展至今已三十多年的趨勢科技,技術已經相當成熟,只要統整所有產品線產生的日誌,即可基於龐大威脅情資,持續監控整體環境的運行安全。

另一方面是建立風險可視化(Security Posture),運用Vision One平台建立零信任控管政策,具體配置企業允許與不允許使用的App分類。例如OneDrive、Dropbox等多數人常用的App,透過端點部署代理程式,蒐集使用者存取網路應用服務的資料,讓機器學習與人工智慧分析行為模式,準確地辨識,並依照管理政策定義執行攔阻,或是告警通知由內部的資安或IT管理者審核判定。

資安成顯學XDR躍上檯面

在COVID-19期間,企業紛紛實施遠距辦公,開放員工採用VPN服務連線登入公司內網,企業IT為了避免員工帳密被惡意人士盜取,多因素驗證(MFA)需求也隨之增長。吳宗霖指出,近來企業進一步研擬零信任控管政策實作方法,除了透過MFA驗證確認用戶身份,Vision One平台亦可配置零信任控管措施,運用行為模式分析風險,以免員工帳密被惡意人士利用來發動攻擊。

過去企業面對資安議題,往往都是列為最低優先順序,特別是以生產線為優先的製造業,資安項目經常遭排擠或遞延。吳宗霖觀察,近兩年高科技製造業接連遭遇勒索軟體入侵,要脅不支付贖金則公佈訂單客戶資料,使得業主開始正視資安議題。畢竟製造業承接代工訂單,合約中會詳載遵守的條件,包含生產過程合規性,甚至要求網路環境需隔離,相當細節,一旦爆發資安事件,凸顯出管理方面的疏失,即便沒取消訂單,也可能會被客戶罰款或降低毛利,使得製造業也開始關注資安防護。

採用Vision One多層式偵測及回應平台,除了可蒐集端點部署Apex One掌握的活動記錄,針對無法安裝代理程式的物聯網感知器、多功能事務機等設備,也可藉由Deep Discovery提供網路偵測與回應(NDR)機制來防護,產生的日誌亦可送到Vision One平台的Data Lake環境。再加上郵件安全、雲端工作負載等不同來源的活動記錄,整理出交叉關聯、可採取行動的警示。並且結合Smart Protection Network全球威脅情資建立的演算模型,提高威脅偵測的能力。

Vision One平台包含Data Lake環境目前部署的位置是在AWS新加坡地區公有雲平台。企業或許會質疑拋送到雲端環境的資料型態,吳宗霖說明,Vision One平台蒐集的資料皆為日誌,例如開啟機敏檔案的行為記錄,並未包含該檔案內容。其次是部署位置,趨勢科技目前正在計畫在台灣落地,合作夥伴AWS針對台灣的ISP,提出AWS Outposts架構,在ISP機房內部部署AWS機櫃,未來可能在AWS Outposts落地後,把Vision One平台直接部署在台灣ISP機房,屆時可讓更多企業或組織採用。

威脅情資分析引擎指出異常行徑

直觀的操作介面設計可說是XDR要項,Vision One平台設計以圖形化方式呈現使用者執行的行為、指出符合MITRE ATT&CK框架的攻擊活動階段相關說明,讓IT管理者有能力判讀與理解,藉此執行改善措施。或可採用代管式的偵測與回應(MDR)服務,由趨勢科技資安團隊來監控,在偵測到高風險活動時指引實施應變措施。

趨勢科技資深技術顧問吳宗霖說明,XDR核心理念在於簡化IT管理的複雜度,只要經過教育訓練或領域知識的指導,就可自行維運。資料科學所需的機器學習演算模型,則可交給後端系統,從使用者存取行為中找到問題根源。

吳宗霖強調,Vision One平台設計的核心理念在於簡化IT管理的複雜度,只要經過教育訓練或領域知識的指導,就可以自行維運。資料科學所需的機器學習演算模型,在後端系統已內建提供,例如新增添的威脅情資分析引擎,可用AI方式從使用者存取行為中找到問題根源。 他以近期實際案例說明,趨勢科技資安團隊為Vision One平台託管客戶執行監控時,發現多家企業內部電腦都出現安裝SoftEther VPN的記錄。由於SoftEther為合法的VPN,不會被防毒引擎判斷為異常,但是AI引擎卻跳出警示,因為在同一個時間區段內,大量不同版本的SoftEther被安裝在不同客戶端點。經過資安團隊與客戶再次確認,結果發現,這類安裝行為並非客戶執行,而是攻擊者在已滲透成功的主機環境,安裝合法軟體成為可任意進出的後門。實際上該手法還可能利用TeamViewer、AnyDesk等合法的遠端操控軟體,若非持續監控與分析各個IT環節的活動記錄,以合法掩飾非法行徑實難察覺。

安全性評估定期檢測風險值

攻擊者為了躲避資安防護偵測,利用合法軟體或通訊協定來執行滲透已相當常見。IT管理者經常為了排除問題,允許讓委外廠商藉由遠端操控軟體登入協助,或是居家辦公時仰賴TeamViewer來處理問題,極可能被攻擊者利用,因此具備精準辨識操作行為合法性的方案也因此更形重要。

吳宗霖即發現,全球大規模居家辦公期間,Vision One平台使用數量也隨之增加,尤其是IT部門也得居家辦公的企業,改由趨勢科技代為管理Vision One,IT人員可透過瀏覽器登入查看蒐集統計的資料,若存取行為的風險指數過高,Vision One會主動發出警示通知,請IT人員進行確認,及早發現攻擊活動。

為了更貼近現代企業應用所需,Vision One特別增添安全性評估功能,操作方式是啟用工作排程來執行Assessment Tool,其中包含最新的威脅情資,用戶端執行後即可盤點檔案、執行程序等攻擊者利用來執行滲透的手法,一旦符合威脅情資,立即回報到Vision One平台。此排程可設定在星期一到星期五期間執行,IT人員可藉由產出的報表來掌握端點運行風險指數,就如同防疫快篩或核酸檢測(PCR)的概念,藉此得知員工電腦是否健康無虞。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!