相較於資安事件發生的頻率與規模,市場上能提供鑑識服務的專業人力卻明顯不足,供需失衡的狀況造成服務成本居高不下,卻也限制了台灣企業採用的意願。
代理CounterTack端點安全偵測回應(EDR)方案的中芯數據,便是著眼於此,設法進一步提供價位合理的資安事件應變服務。
「鑑識服務之所以在台灣始終無法蓬勃發展的主要因素是價格相當高,且實作上還必須蒐集一段時間的資料進行分析,」中芯數據資深資安顧問吳耿宏指出,自動化工具可說是專業人力得以服務降低成本的契機,至少蒐證或部分分析工作可仰賴工具輔助執行,才能讓鑑識服務的人天收費變得可被接受,且較以往更容易實作,真正發揮效用。
 |
| ▲中芯數據資深資安顧問吳耿宏觀察,即使企業已遭受滲透攻擊,仍無法接受高額的鑑識費用,因此勢必要運用自動化工具協助,才能讓IR成為可被多數企業接受的服務。 |
中芯數據資安事件應變服務內容中,首先必須於端點佈建CounterTack Sentinel,而中芯數據亦針對本土企業環境擴充鑑識功能,吳耿宏舉例,由於Sentinel提供的操作介面較為複雜,對此中芯數據還自行研發視覺化系統,將複雜的分析過程簡化為客戶關心的資訊,只需連線登入查看即可,「其實鑑識工作無非是取得被滲透進入的時間、被利用的管道,以及究竟有多少主機被駭,如此一來,就有了災害評估的依據。」
吳耿宏進一步說明,Traces觸發的事件指標都含有專業意涵,例如在隱藏的Temp資料夾中有個執行檔被執行,即可能是可疑的行為。此筆記錄之所以值得深入查看,即在於正常程式通常不會被放置在隱藏資料夾內,且Temp是提供所有軟體工具暫時存放程式的位置,因此權限很低,自然會被駭客利用來存放惡意程式。
在檔案執行行為觸發Traces之後,會自動蒐集相關的行為資訊,資安技術人員只要查看後立即可進行判斷與處理。吳耿宏強調,其實諸如此類的判斷準則均為領域知識,對技術人員而言並非難以理解,資安專家應以開放的心態,分享所知所得,才能培養更多資安人才。
至於統一的分析平台則提供兩種作法。一種是對於擔心資料外流的企業可選擇內部自建Hadoop平台,成本較可負擔,最後產出的報告亦會明確指出在哪個端點、哪個位置、找到哪種惡意程式,企業用戶可透過控管平台直接予以刪除。另一種方式則是無須自建,完全交由中芯數據維運管理,「我們已經建置SOC中心,並且已取得ISO27001驗證,也是政府採購平台上合格的資安服務提供廠商之一。目前是建置在自家機房,之後也不排除會遷移至IDC。」吳耿宏說。