成功獲利的攻擊手法形成網路犯罪商業模式,防護方的技術勢須跟進才能抗衡。擅長於次世代防火牆技術研發的Palo Alto Networks,早在2019年就已基於Traps端點防護機制演進到Cortex XDR,讓端點、雲端、網路等跨技術領域的資料,得以統一存放到雲端平台的資料湖(Data Lake)環境,以便運行資料處理規則與人工智慧(AI)引擎實作事件關聯,並且為每個用戶建立標準行為準則,在異常狀況當下觸發風險警示,大幅降低釀成資安事件的機率。
Palo Alto Networks台灣區技術總監蕭松瀛說明,Cortex XDR著眼於透過單一引擎增強端點防護能力,特別是資料來源不僅只有作業系統與軟體程式,涵蓋NDR(網路偵測與回應)蒐集來自網路安全的防火牆、雲端平台等異質資料,以便掌握惡意程式進入內網後感染的端點範圍。此外,蒐集取得防火牆資料後,自動運行分析,基於Cortex XDR核心為EPP(端點防護平台)、EDR(端點偵測與回應)、UBA(使用者行為分析)技術整合運行,無須透過SIEM(資安事件管理)亦可達到效益。
蕭松瀛舉例,近期處理危險性極高的BYOVD(Bring Your Own Vulnerable Driver)攻擊手法,駭客利用原生的驅動程式漏洞進行滲透,可繞過端點安全檢測機制,亦不會被沙箱技術誘使執行程式運行來辨識是否惡意,最終通常能提高本機帳號權限、遠端控制端點環境。對這種當前主流的BYOVD攻擊手法,Cortex XDR已掌握相關威脅情資,經比對「sys」檔案格式來加以判別。
外部攻擊推動端點防護快速發展
Palo Alto Networks發布的《2022年網路安全事件回應報告》統計,釣魚網站上線後平均每4小時就會出現一名遭勒索軟體滲透成功的受害者,並且Unit 42追蹤發現,勒索軟體不會立即啟動執行惡意加密,而是改為潛伏,平均停留約28天,意味著在此期間若偵測與回應機制能破壞該起攻擊活動,或許不至於釀成大規模感染的重大資安事故。
從端點防護的角度來看,蕭松瀛說明,多年前的主流是採防毒引擎為核心的EPP機制,隨著惡意程式變種速度逐年加快,傳統特徵碼偵測技術已經無法跟進,導致用戶遭受感染的事件激增,以往企業提交病毒樣本給廠商,經解析後發布最新特徵碼的模式,已趕不上病毒變種的速度。甚至多數惡意程式可成功繞過防護機制,在滲透成功後潛伏再伺機橫向移動,直到竊得高權限帳密「合法地」把機敏資料遞送到中繼站,開始在黑市兜售,企業才驚覺資料原來早已外洩。
隨著資安事件持續不斷地爆發,為了協助企業著手進行資安事件調查,技術供應商開始成立資安事件回應(IR)團隊提供服務,運用自家研發的EDR工具進行事後調查與鑑識,提高還原攻擊活動軌跡的效率,進而釐清遭惡意程式感染的範圍,以及追蹤到初始成功滲透的漏洞,並加以修補與改善體質。
因此EDR最初發展本質並非用於阻擋,主要目的是資安事件發生後輔助調查之用,許多以防毒引擎為基礎的EPP更陸續整合EDR機制,成為單一代理程式來提供,可減少對端點效能的影響程度。問題是EDR通常需要資安專業知識來判讀、解釋攻擊手法,並且提出採取行動的建議,才能精準地回應攻擊。對此,技術供應商或其合作夥伴開始提出MDR(代管式的偵測與回應)服務,運用EDR工具來提供7×24小時持續監控服務,一旦發現異常行為,立即執行調查與回應,並提出報告通知企業用戶。
XDR方案扭轉被動挨打局面
近年來資安防護策略轉向「被動挨打不如主動出擊」的觀念,藉由SIEM(資安事件管理)與SOAR(資安協調、自動化與回應)整合平台,增加蒐集端點部署EDR產生的資料,以及來自網路流量解析、雲端平台等異質領域的日誌,彙總到雲端平台的資料湖存放,讓實體資源得以彈性擴充,並且具備高速運算力,執行機器學習或深度學習演算分析,再設計以簡單易懂的拓撲圖呈現網路架構,以及各項連接與應用存取行為的風險指數,甚至是提供威脅獵捕(Threat Hunting)功能,萬一出現異常活動,系統平台亦可提供執行回應的操作步驟,不僅有助於及時發現惡意程式活動,同時降低資安維運門檻,此即為近來備受關注的XDR(擴展式偵測與回應)方案。
蕭松瀛指出,如今XDR方案主要採以雲端平台來提供,可減少自建部署解決方案的繁雜程序,特別是IT或資安人員無須再擔心版本升級引發的問題,只要確認端點安裝的代理程式即可,減少維運工作負擔。企業若採用的是Cortex XDR,不用自主撰寫關聯規則,可交給內建的AI引擎,自動辨識與串連相同事件。假設一起攻擊活動同時運用10種手法、觸發10個告警通知,當蒐集資料餵入Cortex XDR,便會被關聯、歸納、收斂成為同一起事故,並且依照先後順序繪製成圖形,讓IT或資安人員快速釐清攻擊活動的根本因素。或是藉由Cortex XDR提供的MDR服務,交給Unit 42專業資安團隊說明事件原委與回應處理方法。
主動發現風險積極回應解除危機
Cortex XDR方案設計的理念是,在惡意行為發生當下就予以攔阻,資安風險才得以降到最低。進一步結合XSOAR,增添自動分析與回應機制,達到降低平均回應時間(MTTR)與平均檢測時間(MTTD),對於IT或資安管理者來說可大幅降低專業人力負擔。
日前Palo Alto Networks最新發布,為了因應攻擊者大量採用自動化工具挖掘漏洞,讓數位資產暴露風險成為隱患,Cortex再增添Xpanse Active ASM(Attack Surface Management)機制,目的在於主動管理攻擊活動,範疇涵蓋偵測攻擊者頻繁地運用探測工具掃描弱點、主動學習用戶行為模式並建立模型分析,以及積極回應機制,運用內建的Playbook來處理利用遠端桌面協定、OpenSSH套件等漏洞執行滲透入侵,無須人力介入。並且完成修復後,再次啟動掃描驗證風險指數,IT或資安人員透過儀表板或產出的報表掌握資訊即可,實現自動化處理程序來解除未知風險。