為了協助普遍缺乏專業資安人力的企業有效根除資安事件,中芯數據提出代管式的偵測與回應(MDR)機制,稱為意圖威脅即時鑑識服務(IPaaS),由經驗豐富的資安專家運用自動化工具從旁協助處理,以免重複釀成損害。
中芯數據技術長吳耿宏指出,以近期全球皆關注的台積電產線機台遭惡意程式感染事件來看,儘管是由於損失預估超過50億元,且上市公司必須召開記者會說明原委,但是就全球法律規範發展趨勢,資安事件通報應變的重要性已愈來愈高。
|
▲中芯數據技術長吳耿宏指出,企業導入建置多重自動化防禦技術,仍無法阻止資安事件發生,多數會指向內部管控出現問題所導致,事實上,更多在於IT管理者無力深入調查與處理每天產生的眾多告警事件,才讓威脅釀成災。 |
無論通報時是否避重就輕,最重要的關鍵是盡速完成事件處理,確保損害不會再增加。吳耿宏說明,過去事件處理的程序,通常必須先Dump記憶體資料,再用人力或工具執行解析,例如免費的Autoruns,可列出電腦系統中所有的常駐程式,以檢查檔案屬性,例如廠商名稱等資訊,從中判斷是否為可疑檔案。另一個方式是檢查背景執行程序。「如此方式執行調查工作,若是公司內部有上千台電腦,恐難以耗費大量人力落實執行。這是現實層面的問題,正因為如此,多數企業對資安事件的處置,寧願選擇直接重新安裝作業系統。只是若僅是單一電腦重新安裝,不全面性地檢查,之後便會發現同樣的問題一再發生。」
深入查看已被揭露的惡意程式樣本可發現,多數內含受駭單位的網域管理者帳密,因此即使是防毒軟體偵測發現相同特徵的惡意程式,也順利刪除完成,仍必須進行調查,因為攻擊者極可能已經掌握內部高權限帳密等關鍵資訊,為了避免內部橫向擴散,必須得徹底調查執行清除。
中芯數據提供的意圖威脅即時鑑識服務,主要是自動化技術執行鑑識工具,7x24小時蒐集所有的資料,再運行邏輯判斷威脅之處,一旦發現隨即發送警訊,此時再交由人力執行調查,即可較以往更有效率地方式掌握事件狀態。資安事件需要通報與處理,並且以最少的人力、最短的時間釐清核心問題,例如何時發生、入侵管道、影響範圍,以便於後續處理。中芯數據資安團隊是運用CounterTack來蒐集端點環境所有資訊,系統自動觸發Traces功能執行,提供警訊摘要說明,例如第一個惡意程式產生的時間、利用的執行檔、攻擊者遠端執行的指令等逐步滲透狀態。
「若企業希望針對惡意程式進一步分析,我們的服務也可協助,依據電腦數量計價,蒐集系統活動資訊,包含程式執行緒、註冊機異動、檔案與記憶體中存放的程式碼、網路連線記錄等方面,但不涉及螢幕畫面、封包內容等敏感性較高的資訊。」吳耿宏說。