在台灣白帽駭客圈赫赫有名的蔡松廷(網路暱稱TT),繼2013年創辦Team T5資安研究團隊,提供威脅情資報告服務之後,去年(2017)正式成立杜浦數位安全推出解決方案,將十多年來追蹤與研究國際駭客組織的實戰經驗,融入到ThreatSonar端點威脅鑑識系統,經過實際場域驗證其方法論、工具、技術皆可達到預期效果之後,在日本先行推出解決方案,去年開始正式引進回台灣推廣。
杜浦數位安全執行長蔡松廷說明,在金融業、政府單位規範實施下,定期執行資安健檢的觀念如今已廣泛地被接受,可說是台灣資安發展以來的一大進步。ThreatSonar發展初衷即是為了協助執行入侵評估(Compromise Assessment),除了納入原本擅長研究威脅情資的Team T5團隊,再加上自主研發偵測方法、判別問題、威脅獵捕(Threat Hunting)機制,可說是杜浦數位安全較獨特之處。有別於以往認知的資安防禦工具,ThreatSonar利用不同角度與方式來檢視IT環境整體安全性,可設定排程或隨時執行,及早發現威脅行為。
基於駭客思維設計反制方法與工具
以駭客思維研究威脅情資的Team T5團隊,成立多年來運行模式本就是把產出的成果轉換以服務方式提供。近兩年全球高度重視威脅情資服務(TIS),更讓原生於台灣的Team T5打開知名度,在IT技術較為先進的美國、日本取得市場肯定。
解決方案未商品化之前,Team T5資安研究團隊主要工作是鑽研系統與軟體漏洞,並且解析惡意程式樣本,以掌握APT攻擊活動慣用的伎倆。為了更進一步貼近實際戰況,開始採用自主開發的工具協助蒐集受駭單位中所有資料,以便進行研究。會開始思考推出商品化方案,主要即是基於研究員對各大駭客攻擊組織的了解程度,已有能力設計精準有效的反制措施。
「就APT攻擊來說,最受關注時間點大約在2009到2013年之間,擔心受駭的單位,即使導入最先進的解決方案,卻仍舊爆發APT攻擊成功事件,關鍵重要因素之一,即在於解決方案廠商的研發人員不夠了解攻擊者。杜浦數位安全成立初衷即是著眼於此,既有Team T5研究團隊長期追蹤駭客組織,已累積充足的經驗與知識,因此開始規畫自主設計發展一套可解決問題的方法與技術推向市場。」蔡松廷說。
研究人員為了驗證自家方法論與實作技術的可行性,幾年前就已開始為台灣受駭單位免費提供情資、工具、事件調查服務,協助解決入侵問題,後續亦持續監控,以確保事件不再重複發生。他舉例,曾處理過單一IT環境中同時遭到四個不同的駭客組織侵入,經過資安專家逐一清除不同組織採用的惡意程式之後,在持續監控階段只要又發現全新的手法,技術人員可立即發現並及早處置。
|
▲ ThreatSonar端點威脅鑑識系統,內建超過100種惡意行為指標、3,000種已知後門特徵,主動辨識雲端平台、桌機與筆電系統環境的惡意行徑。(資料來源:杜浦數位安全) |
「此類合作模式在日本為收費提供,但是台灣多數受駭單位缺乏經費,即使編列預算也僅限於建置防毒、防火牆、SOC服務等規範項目。我們接下來還會把免費服務推廣到非政府組織(NGO)、非營利機構(NPO)、教育單位,幫助防禦能力相對弱勢的族群,得以檢查IT環境安全性。目前規畫是把系統建立在雲端平台,以提供免費執行掃描。」
自建入侵評估系統定期檢查可疑跡象
|
▲ 杜浦數位安全執行長蔡松廷指出,入侵評估與攻擊獵捕的概念相當簡單,就如同人們以往是出現病徵時才找醫生,現在已可接受固定時間做全身健康檢查,可說是資安發展以來的一大進步。 |
ThreatSonar推向市場方式,之所以選擇入侵評估,蔡松廷說明,主要因素即在於多數企業或組織已意識到健康檢查的重要性,普遍面臨的障礙不外乎經費預算、隱私性、方便性,因此ThreatSonar發展目標,就是協助以最低的成本,提供普遍可負擔的健康檢查服務,並且每天執行,有助於及早發現並排除問題。
就部署方式來看,首先是建置ThreatSonar伺服器分析平台,完成後透過Active Directory網域服務派送執行檔案,或是電腦透過網路芳鄰設定工作排程自動存取執行,來實作每日健檢。當然亦可為單次的資安事件回應(Incident Response,IR)服務,可依據資安控管嚴謹程度選擇合適的實作方法。
ThreatSonar除了針對檔案執行緒的掃描以外,較獨特之處在於可提供記憶體鑑識。畢竟現代攻擊者設計的惡意程式,為了迴避偵測,通常只有在運行時才得以在記憶體中發現明顯的惡意行為。例如常見採以加殼設計,往往難以判斷真實的程式碼,只有實際運行時才會在記憶體中現形,ThreatSonar由於具有蒐集記憶體記錄的能力,便可有效提升判斷精準度。
蒐集資料後集中彙整到伺服器系統平台,其內建了資安研究團隊長期累積的專家知識,並轉化為自主撰寫的演算法與離群值(Outlier)等高階統計學理論來執行分析與判斷,以釐清惡意跡象。蔡松廷舉例,公司內部為Windows作業環境,內建的IE瀏覽器程式理論上應該每個位元都一模一樣,若其中一台電腦的檔案程式出現差異,極可能是遭惡意修改或注入其他程式所導致。
非常駐型程式蒐集降低端點影響度
基於上述可發現,ThreatSonar與一般EDR(端點偵測與回應)欲達成的目標相同,差異在於實作方式,考量IT管理者的接受度,ThreatSonar並非為安裝代理程式,而是採用派送方式執行。蔡松廷指出,畢竟端點環境本已存在防毒引擎,若再增加EDR代理程式,部署運行後往往可能出現記憶體洩漏(Memory Leak),或佔用過多記憶體等問題,令IT管理者退避三舍。
「隨時隨地執行記錄勢必會影響系統效能,核心驅動層、執行緒、使用者層等運作皆必須調校優化,這也是防毒軟體廠商儘管內部的資安事件回應服務團隊本就有EDR技術,卻遲遲無法增添內建的主因。」
EDR就像是攝影機,記錄所有行為軌跡,一旦出事追溯調查,確實可從中找到蛛絲馬跡,但卻必須付出代價,也就是每台電腦都必須再耗費運算、記憶體資源,隨時透過網路把記錄檔案傳送到伺服器的大數據平台。而ThreatSonar則擁有非常駐的優勢,才得以提供更輕量、有效率的實作方法。