趨勢科技大型企業客戶部業務協理楊肇謙說明,APT解決方案通常會偵測每個行為給予風險評分,最後在分析報告中,依照風險的高、中、低排序風險值。其中,高風險的行為通常會採以黑名單比對,例如發現端點連線到攻擊中繼站,這類行絕對為惡意,因此高風險行為通常為已知型態。
問題在於現代駭客行為相當趨近於正常,根本難以準確偵測風險值。儘管資安控管措施有能力偵測發現攻擊活動的最後階段,也就是攻擊者把竊取的機敏資料上傳到中繼站時,亦可在當下成功攔截,不至於造成損失,但實際上在此之前,勢必已有許多中、低風險的行為產生,若有能力先一步發現,也不至於在內部潛伏、大規模擴散,事發後還得投入時間與人力成本進行調查鑑識,再重灌受感染的電腦作業系統。
由此看來,並非APT解決方案未發揮作用,只是若想再進一步降低風險等級,必須要把APT偵測產生的記錄,不管高、中、低風險,全數予以彙整與分析判讀。但是現階段資安解決方案往往只專注於處理高風險的事件,這種作法無法提高企業資安體質,甚至可能在高風險事件出現的同時,損害已隨之發生。
MITRE框架偵測雲端解析大數據回應
前述說明提到,從中、低風險記錄資料中找到惡意活動的行為,可說是MDR服務的關鍵主軸,其次則是回應措施。楊肇謙指出,「不論稱為MDR、EDR、XDR,皆不脫離執行偵測與回應,意思是,針對偵測觸發的告警必須有所回應。當然,企業亦可自行蒐集彙整所有日誌,以人工方式進行分析與判讀,但是就我所知,國際企業尚可見內部雇用具備威脅獵捕能力的IR團隊,反觀台灣目前有能力做到的企業卻少之又少,甚至也缺乏合適的平台進行交叉分析。」
至於回應,通常涵蓋兩個部分,其一是對於偵測結果有能力過濾與解析出問題根源;其二是必須有所作為,例如執行故障排除、緩解、調查等措施。就趨勢科技提出的多層次縱深防禦架構來看,包含閘道防禦、內網防禦、主機防禦,以及Apex One(整合OfficeScan與Endpoint Sensor)端點防禦,皆可成為感知器。蒐集事件記錄後送到威脅分析及雲端服務,也就是MDR服務,主要是建構在智慧型資安情資及分析技術平台(TIC),整理完成後會由專家先行客製化調校,進而針對事件分析,找到問題根源,之後遠端直接處置。萬一發現受駭情況嚴重,因應本土文化上的需求,還會有人力到場協助進行調查。
「情資可說是趨勢科技的優勢之一,擁有較其他同業所擁有更豐富的本地端攻擊樣本。如今偵測機制除了可基於過去已經發生過的資安事件撰寫判斷規則,更強調的是可視性為中心的能力,其中的一項關鍵技術即為FME(File Meta Reputation)。」楊肇謙說。FME並非多數人熟知的檔案信譽評等,只是把SHA-1雜湊值送到Smart Protection Network雲端資料庫進行比對,不一樣之處在於,作業系統內所有新增、執行過的檔案、呼叫過的DLL,皆會被取得Metadata上傳到雲端,包含檔案本身的描述、大小、存放路徑等屬性,全數記錄保存在雲端,持續地學習檔案執行的頻率與次數、特性、全球分布狀態,再與流行比例、內外情資進行比對,據以建立基準線,成為正常檔案的辨識邏輯,一旦超過即屬於高度風險。
APT解決方案發展多年來已增添眾多偵測機制,主要是以智慧為中心(Intelligence Centric)的角度實作,套用幾乎已成為業界共識的MITRE ATT&CK框架,來整理與描述駭客行為模式,可藉此建立偵測的規則。只是偵測完成後可能發現相當多疑似駭客的行為,必須要有專家介入撰寫與建立過濾的規則,並非IT技術人員有能力判別。此時MDR即可扮演輔助的角色,先不論是善意或惡意,把所有資料集中到雲端平台,藉此存放大數據進而運行演算分析,若超過臨界值則主動發出告警通知。
資安意識提高驅動委外服務需求發酵
國際間興起的MDR服務,現階段已提供的本土供應商不多,主要以外商為主,問題是外商普遍會遭遇到資料上傳到境外雲端資料中心的障礙。儘管應用上雲已成趨勢,但是對於資安服務需求較大的政府與金融,常有資料不得離開境內的規定,目前除了Google以外,其他國際主流公有雲業者的資料中心皆未建置在台灣。「趨勢科技的MDR服務即是部署在本地的Google雲端平台。」楊肇謙說。
他進一步提到,MDR勢必得利用雲端平台的基礎架構,搭配企業內部部署的資安設備與EDR,以蒐集與保存完整的資料。只有不受法規限制的製造、零售等行業,才有機會選用外商提供的MDR服務。可惜的是,台灣對於APT解決方案的最大需求者,正是深受法規限制的政府與金融業,高科技製造直到近期才開始有意識到APT攻擊的危險性。
原本APT攻擊主要針對政府,早在2002年就已經出現,當時甚至尚未有APT這個命名,警政署可說是本土第一個遭遇到APT攻擊的單位,經過鑑識調查後才知中招,但也直到2009年開始有APT解決方案上市,才制定規範導入建置防禦。資安業界推廣到2012年,南韓發生「大顆首爾(DarkSeoul)」資安事件,本土銀行也開始規範必須建置APT解決方案。
至於高科技製造業過去較少重大資安事故,使得以代工為主的製造業,心態上總認為既然沒有出事為什麼要建置防護措施,當然產業龍頭腳步較快,但是其他的高科技製造業,則是近兩年才開始重視。接下來若欲進展到採用MDR服務,勢必仍須先從指標性業者發酵後,才會擴展到發展腳步較慢的企業。
事實上,國際間提供MDR服務的供應商通常只負責告知偵測到的問題點,企業客戶後續即可自行排除,反觀台灣對於專業服務的觀念尚未成熟,本土企業或組織往往期待MDR服務不僅要提供回應的方法,還必須實作調查甚至是後續的回復。因此趨勢科技也順應客戶需求,發現問題時不僅提供建議,依據嚴重等級亦可派人到場協助,正是本土服務供應商優勢之所在。
【專題報導】:MDR委外偵搜 阻敵於未遂